MFA fatigue: come proteggere le aziende dagli attacchi all’autenticazione multi-fattore
Condividi questo articolo
L’autenticazione multi-fattore (MFA) è diventata una misura di sicurezza fondamentale per garantire la sicurezza delle credenziali di accesso aziendali. Ma non è una soluzione perfetta e può essere aggirata. Ecco cosa sono gli MFA fatigue, come funzionano e come prevenirli
Pubblicato il 30 Nov 2023
M
Director, Southern Europe Sales Engineering di Proofpoint
Èsempre più diffusa, tra i criminal hacker, la tecnica di attacco MFA fatigue in quanto consente di bypassare i sistemi di autenticazione multipla (MFA) e rubare le credenziali di accesso a sistemi e infrastrutture aziendali.
Ottenere l’accesso a sistemi critici e rubare dati sensibili sono gli obiettivi principali della maggior parte dei criminali informatici, che social engineering e phishing aiutano senza dubbio a raggiungere. Ecco perché l’autenticazione multi-fattore (MFA) è diventata una misura di sicurezza così importante per aziende e dipendenti. Senza MFA, autenticare un account diventa più semplice per un malintenzionato che possiede credenziali rubate.
Obiettivo principale dell’MFA è di ridurre il rischio di accesso non autorizzato, soprattutto in situazioni in cui le sole password potrebbero non fornire una protezione sufficiente. Anche se un malintenzionato rubasse la password, con l’MFA avrebbe bisogno di un secondo fattore (o di altri ancora) per accedere all’account. Esempi di fattori MFA sono la biometria, come le impronte digitali, ed elementi provenienti dai dispositivi dell’utente, come la posizione GPS.
L’MFA non è però una soluzione perfetta e può essere aggirata. Gli avversari sono implacabili nel tentativo di minare le difese di sicurezza che ostacolano il loro successo (lo dimostra l’evoluzione dei kit phish per rubare i token MFA). Ma a volte scelgono di adottare un approccio diretto, poco creativo o tecnico e gli attacchi basati sulla MFA fatigue rientrano in questa categoria.
Indice degli argomenti
- Cosa sono gli attacchi di MFA Fatigue
- Come funzionano gli attacchi MFA fatigue
- Esempi di attacchi di MFA fatigue di successo
- Come prevenire gli attacchi
- Solide policy e pratiche di sicurezza hanno la loro utilità
Cosa sono gli attacchi di MFA Fatigue
Gli attacchi di MFA Fatigue, noti anche come MFA bombing o MFA spamming, sono una forma di social engineering, progettati per logorare la pazienza di un utente in modo che accetti una richiesta MFA per frustrazione o fastidio, consentendo così a un cybercriminale di accedere al suo account o dispositivo.
WHITEPAPER
Le strategie che fanno bene al business e alla cyber security
Cybersecurity
Disaster recovery
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)
Fine modulo
Molte persone si imbattono in richieste MFA ogni giorno, anche più volte al giorno, quando accedono a varie app, siti, sistemi e piattaforme. Ricevere richieste MFA via e-mail, telefono o altri dispositivi come parte del processo è un evento di routine.
Quindi, è logico che un utente pensi che se riceve una notifica push da un account che richiede l’MFA, si tratti di una richiesta legittima. E se è molto occupato nel momento in cui riceve diverse notifiche push in rapida successione per l’autenticazione, potrebbe essere ancora più propenso ad accettare senza esaminarla.
Come funzionano gli attacchi MFA fatigue
Ecco come funziona un attacco MFA:
- Un malintenzionato ottiene nome utente e password del suo obiettivo. Può ottenere questo risultato in vari modi, dalle tattiche di violazione delle password, come gli attacchi brute-force, agli attacchi di phishing mirati, fino all’acquisto di credenziali rubate nel dark web.
- L’attaccante inizia quindi a inviare continuamente notifiche MFA all’utente, di solito in modo automatizzato, fino a quando l’individuo si sente sopraffatto e approva il tentativo di accesso solo per far cessare le richieste. (Di solito, le notifiche push delle soluzioni MFA richiedono che l’utente faccia semplicemente clic su un pulsante “sì” per autenticarsi dal dispositivo o dall’account e-mail registrato).
- Una volta ottenuto l’accesso non autorizzato all’account, può rubare dati sensibili, installare malware e compiere altre azioni pericolose, come impersonare l’utente che ha compromesso, spingendo le sue azioni fino a dove può o vuole arrivare.
Esempi di attacchi di MFA fatigue di successo
Per comprendere ancora più chiaramente quanto questo sia un rischio reale, ecco tre incidenti realmente accaduti e degni di nota, associati allo stesso gruppo malware:
- Uber. Nel settembre 2022, l’azienda ha riferito che un attaccante affiliato al gruppo di attori di minacce Lapsus$ aveva compromesso l’account di un appaltatore, avendo potenzialmente acquistato le credenziali sul dark web, ha dichiarato Uber in un update di sicurezza. L’appaltatore ha ricevuto diverse notifiche MFA mentre l’attaccante cercava di accedere all’account – accettandone una. Dopo aver effettuato l’accesso, l’attaccante ha proceduto ad accedere ad altri account, effettuando un’escalation dei privilegi e procedendo con la riconfigurazione dell’OpenDNS di Uber per visualizzare un’immagine grafica su alcuni siti interni dell’azienda.
- Cisco. Nel maggio 2022 l’azienda ha subito una violazione della rete che è stata ricondotta all’account Google compromesso di un dipendente. L’obiettivo ha ricevuto un elevato numero di tentativi di phishing vocale e notifiche push e ha ceduto alla MFA fatigue. Cisco ha riferito che gli attaccanti hanno rubato dati non sensibili e ha attribuito l’azione a “un avversario precedentemente identificato come un broker di accesso iniziale (IAB) con legami con i gruppi di criminali informatici UNC2447, di Lapsus$ e gli operatori del ransomware Yanluowang”.
- Microsoft. Nel marzo 2022, l’azienda ha confermato che Lapsus$ ha avuto accesso alla sua rete, rubando codice sorgente proprietario. La violazione dei dati è stata ricondotta a un utente il cui account è stato compromesso e che in seguito è stato vittima di un attacco di MFA fatigue. Microsoft ha riferito che i malintenzionati “hanno utilizzato due tecniche principali per soddisfare i requisiti MFA: il replay dei token di sessione e le password rubate per attivare richieste MFA di semplice approvazione, sperando che l’utente legittimo dell’account compromesso si autenticasse”.
Come prevenire gli attacchi
Il cosiddetto MFA bombing può essere una tattica efficace, ma gli attaccanti non devono sempre fare di tutto per convincere gli utenti ad autenticare i propri account. Questo perché molti utenti si sentono stanchi dall’MFA, in generale, non solo quando vengono assillati da una raffica di notifiche push.
Gli utenti potrebbero non essere così diligenti come dovrebbero nel rispondere alle richieste di MFA. Alcuni potrebbero considerare il processo di autenticazione come un ostacolo di sicurezza che li rallenta, altri potrebbero addirittura risentirsi di dover rispondere alla richiesta di verifica della propria identità.
Alla luce di queste dinamiche, sarà necessario fornire una formazione e sensibilizzazione sugli attacchi di MFA che coinvolga gli utenti in modo positivo. Altrimenti, potrebbero non essere ricettivi ai messaggi o non vedere la necessità di cambiare il loro comportamento.
Le aziende dovranno anche considerare l’adozione di misure che possano rafforzare le difese e rendere il processo di autenticazione più semplice per gli utenti. Semplificarlo può ridurre la fatica dell’MFA e le soluzioni che potrebbero essere efficaci, a seconda delle esigenze di sicurezza, includono:
- Password monouso a tempo (TOTP). Un TOTP è un codice di accesso temporaneo generato da un algoritmo. I TOTP hanno generalmente una lunghezza di sei caratteri e cambiano dopo 30 o 60 secondi. Google Authenticator e Microsoft Authenticator ne sono un esempio. Esistono anche applicazioni per smartphone che possono generare un TOTP dopo aver scansionato un codice QR con il proprio dispositivo.
- Autenticazione biometrica. Le caratteristiche uniche di una persona, come l’impronta digitale, vocale o l’immagine del viso, possono essere salvate e crittografate. Quando un utente deve accedere al proprio account, ripresenta i propri dati biometrici per verificare la propria identità. Un altro esempio è FIDO2, che utilizza dispositivi registrati o chiavi di sicurezza FIDO2 per verificare il possesso e convalidare le identità.
- Autenticazione context-aware. Si tratta di un approccio avanzato alla gestione di identità e accessi. Considera diversi fattori per prendere decisioni informate per concedere o rifiutare l’accesso a un utente. I fattori possono includere informazioni sull’individuo, come il suo ruolo in azienda, o la sua posizione o del suo dispositivo quando accede a un account.
- Autenticazione adattiva. Questi sistemi valutano vari fattori contestuali e indicatori di rischio per assegnare un punteggio a una richiesta di accesso. I fattori possono includere il comportamento dell’utente, informazioni sul dispositivo, posizione, orario di accesso, modelli storici di accesso o altro ancora.
Limitare le richieste di MFA non necessarie può anche aiutare a diminuire il rischio di fatigue per gli utenti. Tecnologia Single Sign-on e autenticazione passwordless sono due approcci che consentono di accedere a un servizio senza dover ripetere richieste o verifiche.
Anche intelligenza artificiale (IA) e machine learning possono aiutare l’azienda a prevenire attacchi di MFA. Queste tecnologie avanzate possono amplificare il rilevamento delle minacce aiutando i team di sicurezza a identificare le anomalie nei modelli di comportamento degli utenti. Un esempio insolito è rappresentato da un numero eccessivo di notifiche push inviate in un breve periodo, che potrebbe segnalare un bombardamento MFA.
Solide policy e pratiche di sicurezza hanno la loro utilità
Le policy sulle password possono svolgere un ruolo fondamentale nel rendere più difficile per gli attaccanti indovinare o decifrare le password degli utenti, abbinate a best practice adeguate, come ad esempio l’idea di istituire una policy sulle password che richieda agli utenti di creare passphrase con più di 20 caratteri che preveda l’uso di caratteri speciali.
Ѐ possibile contribuire alla mitigazione adottando il concetto di accesso con il minimo privilegio. Conosciuto anche come principio del minimo privilegio (POLP), questo approccio mira a limitare individui, applicazioni o sistemi al livello minimo di accesso o di permessi di cui hanno bisogno per svolgere le attività autorizzate, per ridurre la superficie di attacco e limitare i danni in caso di violazione.
@RIPRODUZIONE RISERVATA
Valuta la qualità di questo articolo
Future of work: l’intelligenza artificiale per la gestione delle persone e lo sviluppo professionale
- Il webcast è disponibileGUARDA
Personaggi
Argomenti
Canali
Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Speciale PNRR
filter_listFiltra per topic
chevron_left
chevron_right
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
Competenze digitali, ecco il nuovo piano operativo nazionale
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Accordi per l’innovazione, per le imprese altri 250 milioni
PNRR, opportunità e sfide per le smart city
Brevetti, il Mise mette sul piatto 8,5 milioni
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
PNRR, si sbloccano i fondi per l’agrisolare
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
PNRR e PA digitale: non dimentichiamo la dematerializzazione
DIGITAL HEALTHCARE TRANSFORMATION
La trasformazione digitale degli ospedali
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Comuni e digitale, come usare il PNRR senza sbagliare
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Competenze digitali, partono le Reti di facilitazione
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
PNRR 2, è il turno della space economy
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Competenze digitali e servizi automatizzati pilastri del piano Inps
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management in Italia: verso una transizione “smart” e “circular”
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Smart City: quale contributo alla transizione ecologica
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
Competenze digitali, ecco il nuovo piano operativo nazionale
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Accordi per l’innovazione, per le imprese altri 250 milioni
PNRR, opportunità e sfide per le smart city
Brevetti, il Mise mette sul piatto 8,5 milioni
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
PNRR, si sbloccano i fondi per l’agrisolare
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
PNRR e PA digitale: non dimentichiamo la dematerializzazione
DIGITAL HEALTHCARE TRANSFORMATION
La trasformazione digitale degli ospedali
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Comuni e digitale, come usare il PNRR senza sbagliare
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Competenze digitali, partono le Reti di facilitazione
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
PNRR 2, è il turno della space economy
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Competenze digitali e servizi automatizzati pilastri del piano Inps
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management in Italia: verso una transizione “smart” e “circular”
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Smart City: quale contributo alla transizione ecologica
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Attacchi sofisticati: difendersi con intelligenza artificiale, machine learning e automazione
Autenticazione a due fattori: perché è necessaria e come usarla
Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Intelligenza artificiale e ingegneria sociale: quali minacce per la cyber security
News, attualità e analisi Cyber sicurezza e privacy
Microsoft Digital Defense Report: più attacchi nation-state, ma l'AI mitigherà i rischi
Black Friday marketing: una guida per cogliere le opportunità dai grandi eventi commerciali
- Scaricala gratis!DOWNLOAD