Aggiornamenti recenti Ottobre 25th, 2024 6:40 PM
Mag 03, 2023 Francesco Guiducci Approfondimenti, Attacchi, In evidenza, RSS 0
La protezione delle identità digitali è diventata fondamentale per garantire la sicurezza informatica degli utenti e delle aziende. L’aumento del numero di attacchi informatici e data breach sottolinea l’importanza di utilizzare misure di autenticazione “forte” per proteggere gli account online e on-premise.
Una delle soluzioni più efficaci per farlo è l’autenticazione a più fattori (Multi Factor Authentication, in breve MFA), che richiede agli utenti di utilizzare più forme di identificazione per ottenere l’accesso ai propri account; è una misura di sicurezza disponibile da molti anni, ma soltanto nell’ultimo periodo sta prendendo realmente piede.
L’MFA richiede che l’utente fornisca più prove della sua identità per accedere ai propri account, frapponendo un ulteriore ostacolo per gli attaccanti che tentano di violare la sicurezza.
In particolare, l’MFA implica la combinazione di almeno due fattori: qualcosa che l’utente conosce (come una password o un PIN), qualcosa che l’utente possiede (come un dispositivo mobile o una smart card) o qualcosa che l’utente “è” o che comunque gli appartiene univocamente (come i dati biometrici quali impronte digitali, riconoscimento facciale o scansioni dell’iride).
Anche se l’MFA rappresenta una solida barriera di sicurezza, è comunque possibile che un attaccante riesca a bypassarla tramite tecniche sofisticate come un attacco di phishing.
In quest’ultimo scenario, l’attaccante può indurre l’utente a raggiungere una pagina di login malevola, che consente all’attaccante di intercettare la richiesta di autenticazione dell’utente e di acquisire le relative credenziali di accesso.
Per gli esperti del settore, l’attacco non è neppure troppo complesso e prevede l’uso di strategie come il phishing e il social engineering, nonché un attacco il man-in-the-middle. Un esempio di questa tecnica è illustrato in questo video tutorial completo.
In tale scenario, si considera l’ipotesi in cui la vittima ha un account Microsoft protetto da autenticazione a doppio fattore.
Dopo aver studiato attentamente la vittima, l’attaccante procede creando un dominio fittizio che abbia un nome molto simile al portale che si intende imitare. Questa operazione è consigliata per aumentare le probabilità di successo dell’attacco, ma non strettamente è necessaria.
L’attaccante passa poi a realizzare un portale web che riproduce fedelmente la pagina di login e il meccanismo di autenticazione; per semplificare questo passaggio sono disponibili diversi strumenti online.
Il portale creato dall’attaccante ha due scopi principali: registrare le credenziali immesse dalla vittima e catturare le risposte ricevute dall’utente, in particolare il cookie di sessione per l’accesso al portale.
Tali informazioni consentono all’attaccante di accedere all’account della vittima, bypassando l’autenticazione a doppio fattore e ottenendo il controllo completo dell’account.
A questo punto la trappola è pronta, e l’attaccante può procedere con il suo piano. L’attacco di social engineering, il phishing e il redirect (ad esempio, DNS hijacking o redirect) rappresentano le prime fasi di un attacco MFA.
In questo scenario, l’attaccante cerca di indurre la vittima a connettersi e autenticarsi su un portale malevolo “clonato”, facendo credere alla vittima che si tratti del portale legittimo. Una volta che la vittima inserisce le proprie credenziali di accesso, queste vengono salvate dall’attaccante.
L’attaccante, essendosi interposto tra la vittima e il portale legittimo, girerà la richiesta di autenticazione al vero portale, che quindi validerà le credenziali e invierà la richiesta di autenticazione a doppio fattore alla vittima.
In questo modo, la vittima avrà l’impressione di una corretta connessione al portale, fugando eventuali dubbi. L’utente riceverà la notifica del tentativo di accesso, come di consueto, e la approverà; Microsoft invierà il cookie di sessione all’attaccante, che sta gestendo la richiesta di accesso per conto dell’utente.
L’attaccante utilizzerà il cookie di sessione, inserendolo nel browser, per accedere all’account della vittima. È importante sottolineare che, a questo punto, l’attaccante non ha nemmeno bisogno delle credenziali che ha già catturato in precedenza.
Come è evidente, l’attacco descritto rappresenta una minaccia potenzialmente devastante, anche se meno comune rispetto ad altre forme di attacco, come il phishing mirato o lo spear phishing.
Un attaccante dotato di strumenti facilmente reperibili potrebbe violare rapidamente gli account degli utenti, anche se protetti dall’autenticazione a più fattori.
Il primo consiglio è di prestare attenzione ai sospetti durante l’attività quotidiana. Se viene notato qualcosa di strano o sospetto durante l’accesso a portali che richiedono l’autenticazione con le proprie credenziali, è consigliabile fermarsi e controllare di nuovo. Potrebbe esserci qualche cosa che non va.
Inoltre, è fondamentale verificare sempre l’URL e il certificato rilasciato dalla CA durante l’accesso ai portali online. Si possono prevedere meccanismi di protezione delle email contro spam e truffe per ridurre il rischio di subire attacchi di phishing.
L’integrazione di sistemi di controllo della navigazione in base alla reputazione, alle blacklist e ai filtri geografici può rappresentare una misura di sicurezza aggiuntiva per proteggere le infrastrutture aziendali.
Infine, è importante mantenere un alto livello di consapevolezza e formazione sui rischi associati a tali minacce, anche per il personale aziendale, per aumentare il livello di sicurezza delle infrastrutture aziendali e ridurre il rischio di subire attacchi informatici.
Ott 14, 2024 0
Ott 10, 2024 0
Ott 09, 2024 0
Ott 07, 2024 0
Ott 25, 2024 0
Ott 24, 2024 0
Ott 23, 2024 0
Ott 23, 2024 0
Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 22, 2024 0
Una delle problematiche più discusse degli assistenti di...Ott 22, 2024 0
Le minacce informatiche crescono in numero e complessità e...Ott 21, 2024 0
Le aziende si espandono e con esse anche i loro ambienti,...Ott 21, 2024 0
Di recente il team di Group-IB è riuscito a ottenere...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 25, 2024 0
Tra le figure più richieste sul mercato del lavoro ci...Ott 25, 2024 0
Oltre 6.000 siti WordPress hackerati per installare plugin...Ott 24, 2024 0
Il team di Symantec ha scoperto che molte applicazioni...Ott 24, 2024 0
Gli attacchi ibridi alle password sono sempre più...Ott 23, 2024 0
Un’approfondita analisi dei ricercatori di sicurezza...