Set 20, 2024 Approfondimenti, Attacchi, Attacchi, Hacking, In evidenza, News, RSS
Secondo il report del primo trimestre 2024 di Cisco Talos Incident Response (Talos IR) i cybercriminali stanno prendendo di mira le debolezze dell’autenticazione multi-fattore: l’analisi evidenzia che quasi la metà di tutti gli incidenti di sicurezza hanno riguardato la MFA.
Nel 25% dei casi, la causa è stata l’accettazione da parte degli utenti di notifiche push MFA fraudolente, mentre nel 21% dei casi l’implementazione dell’autenticazione multi-fattore non era corretta.
Nel caso delle notifiche push non autorizzate, i cybercriminali sommergono gli utenti con avvisi MFA finché le vittime, esasperate dai messaggi, accettano la richiesta e consentono l’accesso. Cisco Duo, l’azienda di Cisco che si occupa di servizi MFA, ha rilevato, da giugno 2023 a maggio 2024, circa 15.000 attacchi basati su notifiche push. L’analisi riporta inoltre che questi attacchi avvengono principalmente all’inizio della giornata lavorativa, quando gli utenti si autenticano ai sistemi aziendali.
Oltre alle notifiche push, per superare l’MFA i cybercriminali sfruttano i token di sessione rubati o usano tecniche di ingegneria sociale fingendosi qualcuno che la vittima conosce (come un collega del reparto IT) per ottenere le sue credenziali.
In alcuni casi gli attaccanti prendono di mira un fornitore dell’azienda per accedere agli account usando un dispositivo compromesso, oppure compromettono un singolo endpoint per disattivare del tutto la protezione MFA. Cisco Talos IR ha inoltre individuato attacchi che usano applicazioni software provenienti dal dark web che utilizzano script per disabilitare gli strumenti di sicurezza.
Per implementare correttamente l’MFA, i ricercatori di Cisco Talos consigliano di abilitare il number matching per avere un ulteriore livello di sicurezza e impedire agli utenti di approvare notifiche push dannose. È opportuno inoltre configurare un alert per l’autenticazione, in modo da individuare facilmente anomalie e modifiche alle policy dell’MFA, e formare gli utenti per aggiornarli sui pericoli a cui sono esposti.
L’MFA andrebbe in ogni caso implementata per tutti i servizi critici, compresi quelli di accesso remoto e gestione dell’accesso all’identità.