Attacco MFA fatigue: Che cos’è e come prevenirlo

MFA Fatigue Attack: What It Is & How to Prevent It blog banner image

Il furto di credenziali è da tempo una delle principali cause di violazione della sicurezza di rete, che ha portato molte organizzazioni a implementare l’autenticazione a più fattori (MFA) come misura di salvaguardia. Ti consigliamo vivamente di abilitare l’MFA per tutti gli account come best practice. Tuttavia, l’efficacia dell’MFA dipende in modo significativo da come viene impostata, perché gli aggressori stanno sviluppando strategie per aggirarla.

Un metodo comunemente utilizzato dagli aggressori consiste nel bombardare un dipendente, a cui hanno rubato le credenziali, con continue richieste di MFA. Questa tattica, nota come attacco MFA fatigue, è stata sfruttata in particolare nella recente violazione di Uber, che analizzeremo più avanti in questo articolo.

Comprendere la crescente preoccupazione relativa agli attacchi MFA fatigue

Un attacco MFA fatigue è un tipo di cyberattacco di ingegneria sociale, noto anche come MFA bombing o MFA spamming, che si verifica quando gli aggressori bombardano la tua e-mail, il telefono o i dispositivi registrati con ripetute richieste di autenticazione a secondo fattore. L’obiettivo è quello di stressarti e stancarti fino a spingerti a confermare inavvertitamente una notifica, cosa che poi consentirà agli aggressori di accedere al tuo account o al tuo dispositivo.

Questi attacchi iniziano in genere dopo che gli aggressori hanno già ottenuto le credenziali di accesso, spesso attraverso il phishing o altre tattiche di social engineering. Le credenziali possono essere acquistate anche sul dark web, tra le altre fonti. Una volta in possesso di questi dati, gli aggressori possono avviare le notifiche push MFA. In uno scenario tipico, dopo aver inserito la prima serie di credenziali (primo fattore), ricevi una notifica push per verificare la tua identità attraverso qualcosa che possiedi fisicamente (secondo fattore), come il telefono cellulare.

L’obiettivo di un attacco MFA fatigue: Chi è a rischio?

Gli attacchi MFA possono colpire chiunque all’interno di un’organizzazione, ma sono particolarmente efficaci contro le persone che hanno accesso a informazioni sensibili o a privilegi amministrativi. Questi attacchi sfruttano la tendenza umana a preferire la comodità alla sicurezza, soprattutto quando ci si trova di fronte a richieste di sicurezza persistenti e fastidiose. Gli obiettivi comuni includono:

  • Dirigenti di alto livello: Gli amministratori delegati, i direttori finanziari e altri dirigenti di alto livello sono i bersagli principali a causa del loro ampio accesso a informazioni aziendali sensibili.
  • Personale e amministratori IT: Coloro che gestiscono e hanno accesso privilegiato ai sistemi IT sono ad alto rischio, poiché le loro credenziali possono fornire un accesso più profondo alla rete.
  • Personale delle risorse umane: I responsabili delle risorse umane hanno spesso accesso ai dati personali e finanziari dei dipendenti, il che li rende obiettivi interessanti per gli aggressori.
  • Funzionari finanziari e contabili: Gli individui che gestiscono transazioni finanziarie e dati finanziari sensibili sono presi di mira per ottenere l’accesso alle informazioni bancarie e alle funzionalità delle transazioni.
  • Rappresentanti del servizio clienti: I dipendenti che ricoprono ruoli a contatto con i clienti possono avere accesso ai dati personali dei clienti e ai sistemi relativi alla gestione degli utenti.

Istruisci tutti i dipendenti sui rischi e sui segnali degli attacchi MFA per salvaguardare i dati personali e organizzativi. Una formazione regolare sulle best practice di cybersecurity e l’implementazione di solidi criteri di sicurezza possono ridurre in modo significativo il rischio di questi attacchi mirati. La consapevolezza e la preparazione sono le difese chiave contro la crescente minaccia rappresentata dall’MFA fatigue.

Esempio di attacco MFA fatigue

Vediamo un esempio concreto di attacco MFA fatigue. Uber è stata recentemente vittima di un attacco MFA fatigue perpetrato dal noto gruppo di criminali informatici Lapsus$. La violazione è iniziata quando gli aggressori hanno compromesso le credenziali di un collaboratore esterno, probabilmente acquisite tramite il dark web. Con queste credenziali, gli aggressori hanno attivato incessantemente le richieste MFA per accedere alla rete Uber. Inizialmente, il collaboratore ha resistito a queste richieste, ma gli aggressori si sono abilmente spacciati per assistenza tecnica su WhatsApp, convincendo il collaboratore ad accettare la richiesta MFA e ottenendo così un accesso non autorizzato.

Una volta entrati, gli aggressori hanno avuto accesso a diversi altri account di dipendenti, aumentando le loro autorizzazioni per infiltrarsi in strumenti interni chiave come G-Suite e Slack e scaricare comunicazioni interne sensibili e uno strumento finanziario utilizzato dal team finanziario di Uber. Questo incidente è un esempio di vulnerabilità critica nei sistemi MFA e serve a ricordare la necessità di una costante vigilanza e di solide pratiche di sicurezza per difendersi da sofisticate minacce informatiche, in particolare nell’ambito della sicurezza MFA.

Strategie di prevenzione degli attacchi MFA fatigue

Per prevenire efficacemente un attacco MFA, dovrai implementare strategie solide e adeguate alle esigenze specifiche della tua organizzazione. La prevenzione degli attacchi MFA fatigue inizia con una formazione completa per tutti i membri del team. Educare te stesso e il tuo personale sui segnali dell’MFA fatigue e sui metodi utilizzati dagli aggressori può ridurre il rischio in modo significativo. Quindi, usa queste importanti tattiche:

  • Stabilisci protocolli chiari per la gestione delle richieste MFA inattese.
  • Incoraggia il tuo team a segnalare qualsiasi attività sospetta senza esitazione.
  • Aggiorna e controlla regolarmente i protocolli MFA per garantire che le difese siano al passo con l’evoluzione delle minacce alla sicurezza informatica.

L’utilizzo di un criterio di sicurezza che limiti la frequenza delle richieste MFA riduce le possibilità che i dipendenti si trovino di fronte a un bombardamento di richieste di accesso, diminuendo la probabilità di approvazioni accidentali. Puoi implementare ulteriori livelli di sicurezza, come l’analisi comportamentale, per aiutare a rilevare modelli insoliti che potrebbero indicare un tentativo di attacco MFA fatigue. Adottando queste misure proattive, potrai salvaguardare i tuoi dati e dare ai tuoi dipendenti la possibilità di contribuire alla sicurezza generale della tua organizzazione.

Migliorare i protocolli di sicurezza senza sovraccaricare gli utenti

Quando pianifichi una strategia di sicurezza, è importante trovare un equilibrio tra l’implementazione di solide misure di sicurezza e il mantenimento della comodità per gli utenti. Scegli metodi di autenticazione adattivi che modifichino i requisiti di sicurezza in base al contesto dell’utente, come la sua posizione o il livello di sicurezza del dispositivo utilizzato. Questo approccio può ridurre in modo significativo la frequenza delle richieste di autenticazione quando le condizioni sono considerate sicure, riducendo al minimo lo stress e la frustrazione dell’utente.

Inoltre, assicurati che tutte le modifiche ai protocolli di sicurezza siano accompagnate da linee guida chiare e dirette e da un supporto prontamente disponibile. Questo aiuta il team a comprendere i nuovi processi e la loro importanza, sostenendo al tempo stesso la produttività.

Espandi la sicurezza oltre le singole misure

Gli attacchi MFA fatigue mostrano i limiti dell’affidarsi esclusivamente a una strategia difensiva, e la stessa cosa succede con la natura imprevedibile delle vulnerabilità zero-day. Con NinjaOne, puoi beneficiare di una suite completa di integrazioni per la sicurezza, tra cui il monitoraggio continuo, il patch management proattivo e le soluzioni IT automatizzate che fungono da strumenti fondamentali per rafforzare le tue difese contro minacce informatiche diverse e in costante evoluzione.

NinjaOne utilizza un approccio poliedrico e adattivo alla sicurezza con gli strumenti di sicurezza degli endpoint di NinjaOne e le soluzioni RMM che assicurano solide posizioni di sicurezza IT fin dall’inizio. Questi sistemi non solo forniscono backup sicuri e visibilità completa dell’infrastruttura IT, ma riducono anche in modo significativo i rischi, proteggendo l’organizzazione dal panorama dinamico delle minacce informatiche.

Passi successivi

Le basi della sicurezza dei dispositivi sono fondamentali per lo stato della tua sicurezza complessiva. NinjaOne semplifica l’applicazione di patch, l’hardening, la protezione e il backup di tutti i dispositivi in modo centralizzato, da remoto e su larga scala.

Ti potrebbe interessare anche

Vuoi diventare un Ninja dell’IT?

Scopri come NinjaOne può aiutarti a semplificare le operazioni IT.
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.