da Hardware Upgrade :
La password, lo sappiamo bene, non è un metodo particolarmente efficace per proteggere gli accessi e da qualche anno la tendenza è quella di puntare sull’approccio MFA, l’autenticazione a più fattori, che rende più sicuri gli accessi chiedendo, oltre alle credenziali, anche un ulteriore codice OTP, inviato via SMS o generato tramite applicazioni di autenticazione.
Sebbene l’autenticazione a più fattori aiuti a proteggere meglio gli accessi, le aziende non dovrebbero però abbassare le difese: SentinelOne ha rilevato un numero crescente di attacchi alle identità in grado di superare anche questo tipo di difese che, da sole, non sono sufficienti. “Il sistema MFA si basa principalmente sul comportamento umano e sul processo decisionale, fattori che possono incidere sul buon esito di un attacco poiché sono legati alla resilienza informatica dell’individuo che lo sta adottando“, spiega Marco Rottigni, Technical Director di SentinelOne.
MFA: ecco come i criminali informatici riescono a violarla
Di per sé, le tecnologie di autenticazione a più fattori sono decisamente robuste e sicure, e sono in grado di proteggere gli accessi anche nel caso le credenziali vengano sottratte. Non sono però infallibili, sia per errori nell’implementazione, sia perché c’è sempre di mezzo una persona, che può essere portata, in vari modi, a commettere errori.
Per esempio, portando l’utente allo sfinimento martellandolo di notifiche sino a che, per esasperazione o distrazione, concede involontariamente l’accesso. Questo metodo è tra l’altro molto semplice da mettere in atto: basta riuscire a trovare le credenziali della vittima, per esempio tramite una campagna di phishing, e poi continuare a effettuare tentativi di accesso. Quello che accadrà sarà che la vittima verrà bombardata da continue richieste di accesso sull’app installata sullo smartphone e, pur di farle cessare, a un certo punto darà l’OK, dando così l’accesso all’attaccante.
Altri metodi, invece, sono più sofisticati e complicati da portare a termine, ma possono offrire maggiori garanzie di successo. Un classico esempio è quello dell’attacco del tipo “Man in the middle”. In questo scenario, l’attaccante riesce a intercettare il flusso di comunicazioni fra l’utente e il server di autenticazione, sostituendosi all’utente. Questi, infatti, inconsapevolmente starà inviando credenziali e codice OTP al criminale, il quale le userà per accedere in tempo reale al suo posto. Un modo molto efficace per condurre questo tipo di attacchi può essere quello di manomettere i DNS, per esempio convincendo la vittima a collegarsi a un hotspot Wi-Fi controllato dagli attaccanti.
Un altro metodo molto diffuso è il classico “SIM swap”, che funziona in tutti i quei casi in cui il codice OTP viene inviato tramite SMS (cosa che sconsigliamo vivamente di fare: meglio usare app, chiavi hardware o soluzioni più robuste). L’attaccante riesce a convincere il provider telefonico a cambiare la SIM della vittima, per esempio dichiarando di aver smarrito il telefono, reindirizzando a tutti gli effetti i codici OTP su quella nuova, controllata dagli hacker, che avranno così ottenuto il loro scopo. Fortunatamente, le nuove regole di portabilità imposte da AGCOM rendono questi attacchi molto più complicati.
Un’ulteriore tattica usata dai criminali informatici è il cosiddetto “Pass the cookie”. Consiste nel sottrarre alla vittima un cookie di autenticazione che verrà poi usato su un altro browser per accedere al suo posto, senza dover reinserire le credenziali.
Mettere in sicurezza MFA: i consigli di Marco Rottigni di SentinelOne
Secondo Rottigni, questi limiti non dovrebbero scoraggiare le aziende dall’adottare l’autenticazione a più fattori, che è comunque molto efficace. È però importante implementare ulteriori livelli di protezione. Nello specifico, il direttore tecnico di SentinelOne suggerisce le seguenti azioni per mitigare i rischi:
- Aggiungere più informazioni e contesto ai login degli utenti. Anziché limitarsi a richiedere un semplice “accetta” o “nega” per l’autenticazione, è possibile aggiungere dettagli come l’ID globale, la posizione e il nome del dispositivo.
- Le soluzioni MFA andrebbero legate a URL, host e dispositivi specifici per impedire l’accesso diretto alla risorsa in caso di attacco “Man in the Middle”.
- Assicurarsi che la soluzione MFA richieda un rigoroso processo di reset e ripristino e che i cookie di sessione, i token di sicurezza e i valori di seed siano impostati per scadere in meno di 24 ore.
“Sebbene strategie di cybersecurity più solide includano strumenti di sicurezza basati sull’identità, come la gestione dell’identità e degli accessi (IAM) e la gestione degli accessi privilegiati (PAM), questi sono solo il punto di partenza per stabilire una protezione basata sull’identità a lungo termine“, spiega Rottigni. “Strumenti moderni e innovativi di gestione delle identità opereranno in sinergia con solide piattaforme di cybersecurity come l’Extended Detection and Response (XDR) per proteggere le identità digitali e i sistemi che le gestiscono. Una combinazione di entrambi riduce la superficie di attacco complessiva delle identità, in quanto limita l’esposizione dell’azienda agli attacchi, monitorando costantemente i segnali di vettori comuni e nuovi basati sulle identità“.