Un attacco MFA fatigue, noto anche come MFA bombing, è una tattica, una tecnica e una procedura di attacco (TTP) in cui un attore della minaccia inonda gli utenti di richieste di autenticazione a più fattori (MFA). Inondando, confondendo o distraendo l'utente per indurlo ad approvare una richiesta fraudolenta, gli aggressori sperano di ottenere l'accesso all'ambiente di rete.
Microsoft ha recentemente rilevato che entro la metà del 2023 avrebbe osservato quasi 6.000 tentativi di affaticamento MFA al giorno. Imparare a conoscere l'aspetto di questi attacchi e a difendersi da essi è una mossa intelligente.
Che cos'è l'AMF?
L'autenticazione a più fattori (MFA) è una misura di sicurezza che richiede agli utenti di fornire due o più tipi di identificazione distinti per accedere a un account o a un sistema. Questo approccio aumenta la sicurezza: Anche se un fattore di autenticazione è compromesso, i fattori aggiuntivi possono impedire l'accesso non autorizzato.
Che cos'è l'affaticamento da AMF?
La maggior parte degli utenti comprende il valore dell'MFA. Ma molti si sono stancati delle numerose notifiche push che compongono la giornata lavorativa moderna. La stanchezza da MFA si verifica quando gli utenti sono talmente sommersi dalle notifiche da non prestare più la massima attenzione a ciascuna di esse.
Un attacco MFA fatigue non è un mezzo diretto per aggirare l'MFA. Piuttosto, questo TTP sfrutta l'errore umano e la stanchezza durante il processo MFA. L'approccio sfrutta la fiducia che gli utenti ripongono nell'MFA e la conseguente aspettativa che ogni richiesta di MFA sia legittima.
Spesso l'attaccante si aspetta che l'utente approvi una richiesta fraudolenta in mezzo a una marea di richieste legittime. Gli attacchi MFA fatigue sottolineano l'importanza non solo di disporre dell'MFA, ma anche di formare gli utenti alla cautela e al discernimento delle richieste MFA che approvano.
Il pericolo degli attacchi di stanchezza MFA
Gli attacchi di MFA fatigue, sebbene spesso sottili nell'esecuzione, hanno profonde implicazioni per la sicurezza e le dinamiche di fiducia all'interno dell'organizzazione. Questi attacchi non solo minacciano direttamente la vostra sicurezza digitale, ma incidono anche negativamente sulla fiducia e sullo stato mentale degli utenti.
Ecco alcune potenziali conseguenze di un attacco di stanchezza MFA.
- Accesso non autorizzato: Un pericolo immediato del bombardamento MFA è la potenziale violazione delle risorse sicure. Supponiamo che un utente approvi per errore una richiesta MFA errata. Gli aggressori possono sfruttare questo errore per ottenere un accesso non autorizzato a dati, sistemi o applicazioni sensibili. Un attacco MFA di successo non solo mette a rischio le informazioni proprietarie dell'azienda, ma può anche avere ripercussioni legali e finanziarie.
- Negazione del servizio: L'MFA è percepito principalmente come una misura di sicurezza per proteggere l'accesso. Ironicamente, il bombardamento dell'MFA può sfruttare questo processo per negare l'accesso. Sovraccaricando il sistema con una moltitudine di richieste MFA, gli aggressori possono causare una situazione di stallo, impedendo agli utenti legittimi di accedere ai propri account. Questo scenario può essere particolarmente dannoso se si interrompono operazioni sensibili al tempo o processi aziendali critici.
- Erosione della fiducia: Forse l'impatto più insidioso del bombardamento MFA è il suo effetto a lungo termine sulla percezione e sulla fiducia degli utenti. Ogni richiesta MFA falsa o non necessaria serve a ricordare la vulnerabilità del sistema. Nel tempo, con frequenti falsi allarmi, gli utenti potrebbero iniziare a dubitare dell'efficacia del sistema MFA. Questa minore fiducia può generare compiacimento, rendendo gli utenti ancora più suscettibili a futuri attacchi di MFA fatigue. Inoltre, se gli utenti vedono l'MFA come una fonte costante di interruzioni e confusione piuttosto che come una misura di sicurezza essenziale, potrebbero essere più inclini ad aggirarla o a resistervi.
Come funziona un attacco a fatica MFA?
Comprendendo i meccanismi utilizzati dagli avversari, che vanno dalle campagne di phishing ingannevoli ai tentativi strategici, i team di sicurezza possono prepararsi e difendersi meglio da queste minacce insidiose.
- Iniziazione basata sul phishing: L'aggressore inizia con l'invio di e-mail di phishing progettate per catturare le credenziali primarie dell'utente. Una volta in possesso di tali credenziali, l'aggressore avvia il processo di bombardamento MFA.
- Generazione rapida di richieste: Utilizzando strumenti o script automatizzati, l'attaccante lancia rapidamente più tentativi di accesso. Ogni tentativo fa scattare una richiesta MFA all'utente. L'obiettivo è creare un diluvio di richieste MFA e affaticare l'utente.
- Richieste maligne mascherate: Tra le richieste MFA legittime derivanti dai tentativi di accesso dell'aggressore, quest'ultimo potrebbe intercalare richieste MFA dannose per un account o un servizio diverso. L'attaccante spera che nella confusione l'utente approvi la richiesta sbagliata.
- Tempistica: L'aggressore può programmare strategicamente l'attacco in un momento in cui l'utente potrebbe essere distratto, ad esempio all'inizio della giornata lavorativa o subito dopo la pausa pranzo.
Esempi di attacco a fatica MFA
Gli attacchi MFA fatigue sembrano essere i preferiti dal gruppo di attacco Lapsus$, che ha utilizzato il TTP contro Uber nel 2022. Anche Cisco è stato un obiettivo di MFA fatigue, così come diverse aziende e organizzazioni governative.
Come potrebbe svolgersi un attacco MFA? Considerate questi esempi.
- Sovraccarico di notifiche push: Un dipendente utilizza un'applicazione mobile per l'MFA, che invia notifiche push per l'approvazione. Un aggressore, dopo aver ottenuto le credenziali di accesso primarie attraverso una campagna di phishing separata, avvia una raffica di tentativi di accesso. Il telefono del dipendente viene inondato di notifiche push. Nella confusione che ne deriva, il dipendente approva inavvertitamente un tentativo di accesso dannoso a un sistema o a un archivio di dati sensibili.
- Confusione dei codici SMS: Un dipendente riceve i codici MFA via SMS. Un aggressore, armato delle credenziali primarie del dipendente, avvia il processo di login più volte in rapida successione. Il telefono del dipendente viene bombardato di codici SMS, rendendo difficile distinguere quale sia quello effettivamente necessario per un'azione legittima che sta cercando di eseguire. In mezzo al caos, potrebbe utilizzare un codice inviato dall'aggressore per un login dannoso.
- Mascheramento dei servizi legittimi: Un dipendente utilizza più servizi che si affidano tutti alla stessa applicazione MFA per l'autenticazione. Un aggressore avvia più accessi a un servizio meno critico, inondando l'app MFA di richieste. Tra queste richieste se ne nasconde una per un servizio più sensibile. Il dipendente sopraffatto approva erroneamente l'accesso a questo servizio critico.
Combattere la stanchezza da AMF
Nell'intricato gioco della difesa informatica, la comprensione e la lotta contro le minacce in continua evoluzione richiedono una miscela di consapevolezza da parte dell'utente e solide protezioni tecnologiche. Considerate queste tattiche per contrastare gli attacchi MFA.
- Corrispondenza numerica: se una sfida MFA richiede una corrispondenza numerica, l'utente deve avere visibilità sulla sessione di autenticazione di origine, cosa che non può accadere in un attacco MFA a fatica.
- Geolocalizzazione: La presentazione di informazioni sulla geolocalizzazione, anche se inesatte, come parte della sfida MFA fornisce un contesto più ampio all'utente. Se un utente che si trova a Los Angeles riceve una richiesta push con una geolocalizzazione di Copenaghen, può riconoscere qualcosa di losco nella richiesta.
- Formazione degli utenti: L'elemento umano rimane uno degli aspetti più vulnerabili di qualsiasi strategia di sicurezza. Pertanto, una formazione completa degli utenti è fondamentale. Ciò comporta non solo la familiarizzazione degli utenti con il concetto di attacchi a fatica MFA, ma anche l'instillazione di una cautela abituale. Seminari regolari, attacchi simulati e promemoria costanti possono aiutare gli utenti a riconoscere le attività sospette. Verificando il contesto di ogni richiesta MFA, i vostri dipendenti possono ridurre significativamente la possibilità di concedere erroneamente l'accesso.
- Limitazione della velocità: Una delle contromisure tecniche più efficaci è il rate limiting. Impostando una soglia sul numero di richieste MFA consentite in un determinato periodo, si riduce notevolmente la capacità degli aggressori di inondare gli utenti di notifiche. Questo approccio non solo ostacola la capacità degli aggressori di confondere l'obiettivo, ma fornisce anche un livello di protezione contro potenziali tentativi di attacco brute-force.
- Registrazione e monitoraggio: La registrazione continua e approfondita dei tentativi di autenticazione ha un duplice scopo. In primo luogo, mantenendo un registro dettagliato, le organizzazioni possono condurre analisi post-incidente per comprendere e risolvere le vulnerabilità. In secondo luogo, gli strumenti di monitoraggio in tempo reale possono valutare questi registri e utilizzare l'apprendimento automatico o l'analisi euristica per rilevare schemi coerenti con un attacco MFA a fatica. Quando emergono tali schemi, gli avvisi automatici possono notificare ai team di sicurezza di indagare ulteriormente.
- Meccanismo di feedback: Dare agli utenti la possibilità di essere parte attiva della strategia di difesa può essere incredibilmente efficace. Impostando un meccanismo di feedback facile da usare, gli utenti possono segnalare rapidamente richieste MFA sospette o altre anomalie. Questa funzionalità non solo aiuta i team IT a ricevere avvisi immediati su potenziali minacce, ma favorisce anche una cultura della sicurezza in cui ogni individuo si sente responsabile della salvaguardia delle risorse digitali.
Sconfiggere la stanchezza da MAE
Il bombardamento dell'MFA rappresenta una sfida sfaccettata, che contrappone i progressi tecnologici della sicurezza alle vulnerabilità del comportamento umano. Attraverso tattiche come il phishing, la generazione rapida di richieste e le richieste maligne mascherate, gli aggressori hanno armato uno strumento destinato a proteggere gli utenti.
L'MFA rimane un solido meccanismo di difesa, ma la sua efficacia può essere compromessa quando gli utenti sono sopraffatti o poco addestrati. La chiave per combattere la fatica dell'MFA non sta solo nelle contromisure tecnologiche, ma anche nell'educazione e nella responsabilizzazione degli utenti.
Combinando la consapevolezza con difese proattive come la limitazione della velocità e i meccanismi di feedback, le organizzazioni possono difendere la sacralità dei loro sistemi di sicurezza e proteggere gli utenti dallo sfruttamento. Consapevolezza, vigilanza e adattamento continuo restano i vostri migliori alleati.