I cyber criminali stanno prendendo di mira gli account protetti da Mfa (Multi-Factor Authentication), l’autenticazione a più fattori, per poter accedere ai sistemi informativi aziendali.
È quanto emerge dal report del primo trimestre del 2024 di Cisco Talos che evidenzia che quasi la metà di tutti gli incidenti di sicurezza hanno riguardato l’Mfa, best practices ritenuta tra le più solide per proteggere gli account.
Nel 25% dei casi, la causa è stata l'accettazione da parte degli utenti di notifiche push Mfa fraudolente, mentre nel 21% è stata rilevata un'implementazione non sempre corretta dell'Mfa.
L'autenticazione a più fattori è un metodo di verifica dell'identità che richiede agli utenti di fornire almeno un fattore di autenticazione in aggiunta alla password.
Oppure almeno due fattori di autenticazione invece di una password, per ottenere l'accesso a un sito web, un'applicazione o una rete.
Nonostante negli ultimi anni ci siano stati molti progressi per quanto riguarda la sua implementazione, ora sembra essere nel mirino dei criminali informatici.
Mfa: come viene attaccata dai cyber criminali
La tipologia più comune di attacchi che Cisco Talos ha dovuto gestire ha utilizzato le notifiche push Mfa non autorizzate da parte degli utenti.
Questa situazione si verifica quando l’aggressore tenta di autenticarsi ripetutamente a un account utente con credenziali valide al fine di sommergere le vittime di notifiche push Mfa fino a quando, per esasperazione, la vittima accetta permettendo l’accesso.
Cisco Duo, l’azienda di Cisco che si occupa di servizi di autenticazione Mfa, ha rilevato, da giugno 2023 a maggio 2024, circa 15.000 attacchi basati su notifiche push.
Questi attacchi avvengono principalmente all’inizio della giornata lavorativa, quando gli utenti si autenticano per accedere ai sistemi aziendali.
Tuttavia, gli attaccanti utilizzano altri metodi per eludere le difese Mfa, oltre alle notifiche push, tra cui, per esempio, token di autenticazione rubati.
I criminali utilizzano i token di sessione rubati ottenendo così un’identità legittima che gli permette di accedere ai sistemi aziendali.
Come implementare correttamente l'Mfa
Cisco Talos suggerisce alcune raccomandazioni per difendersi dagli attacchi Mfa:
- Abilitare il number matching nelle applicazioni Mfa per fornire un ulteriore livello di sicurezza e impedire agli utenti di accettare notifiche push Mfa dannose.
- Implementare l'autenticazione a più fattori su tutti i servizi critici, inclusi tutti i servizi di accesso remoto e di gestione dell'accesso all'identità.
- Configurare un alert per l'autenticazione al fine di identificare rapidamente anomalie e modifiche nei criteri di autenticazione a più fattori.
- investire nella formazione degli utenti per aggiornarli sul panorama delle minacce informatiche e aiutarli a essere vigili, segnalando tempestivamente situazioni sospette.
