MFA Prompt Bombing è un metodo di attacco efficace utilizzato dagli aggressori per ottenere l'accesso a un sistema protetto da Multi-Factor Authentication (MFA). L'attaccante invia un numero elevato di richieste di approvazione MFA a un utente per sommergerlo di richieste. Un clic sbagliato e un utente malintenzionato ha accesso.
Indipendentemente dal livello di molestia MFA Prompt Bombing, l'obiettivo è che l'utente accetti la richiesta MFA e conceda l'accesso agli account o fornisca un modo per eseguire codice dannoso su un sistema preso di mira. L'industria della sicurezza considera gli attacchi di bombardamento tempestivi dell'MFA come una forma di ingegneria sociale. Questo noto vettore di attacco ha guadagnato popolarità tra gli aggressori solo negli ultimi due anni, eppure molti utenti e team di sicurezza non sono ancora a conoscenza di questa tecnica di attacco.
Bombardamento rapido del MFA in azione
Uno dei più noti attacchi MFA Prompt Bombing di successo è stato effettuato dal gruppo di hacker Lapsus$. Le loro azioni hanno evidenziato i punti deboli di alcune impostazioni, comprese le notifiche push. Nei loro recenti attacchi riusciti, il gruppo di hacker ha bombardato gli utenti con richieste fino a quando le vittime alla fine hanno approvato l'accesso. Il gruppo ha inoltre sfruttato la capacità dei fornitori MFA di consentire ai dipendenti di ricevere una telefonata a un dispositivo autorizzato per l'autenticazione e di premere un tasto specifico come secondo fattore.
Una dichiarazione pubblicata da un membro di Lapsus$ sul canale di chat Telegram del gruppo illustra la tattica sfacciata dei criminali informatici: "Non c'è limite al numero di chiamate che puoi effettuare. Se chiami il dipendente 100 volte all'una di notte quando sta cercando di dormire, molto probabilmente accetterà. Una volta che l'agente risponde alla prima chiamata, puoi accedere al portale di registrazione MFA e registrare un altro dispositivo.
Equilibrio tra usabilità e sicurezza
Con la crescente notorietà degli attacchi di bombardamento rapido MFA, alcune organizzazioni hanno deciso di disabilitare le notifiche push per le richieste di autenticazione e applicare invece le password monouso (OTP). Questi hanno lo scopo di rendere più difficile per gli aggressori l'accesso a informazioni e risorse sensibili, ma si traducono in un'esperienza utente peggiore poiché gli utenti devono fornire informazioni di accesso aggiuntive, come un codice numerico inviato tramite SMS.
Sebbene OTP possa essere un po' più sicuro delle notifiche push, degrada l'esperienza dell'utente. Le aziende dovrebbero fare attenzione a trovare il giusto equilibrio tra usabilità e sicurezza.
Cosa possono fare le imprese contro gli attacchi dinamitardi rapidi dell'MFA
Invece di passare a OTP, è meglio negare automaticamente le notifiche push MFA quando viene superato un certo numero di notifiche. Pertanto, in caso di attacco, un utente finale riceverà solo poche notifiche MFA, mentre il team di sicurezza verrà avvisato del flusso di richieste MFA nei registri delle attività dell'utente dietro le quinte.
Quando si tratta di trovare il giusto livello di sicurezza e facilità d'uso per la protezione MFA, le notifiche push sono ancora la soluzione consigliata. Tuttavia, devono essere implementati con le giuste misure di sicurezza.
Protezione completa dell'identità
Per garantire una protezione completa dell'identità, implementa una piattaforma di protezione dalle minacce all'identità creata appositamente per la prevenzione, il rilevamento e la risposta in tempo reale agli attacchi basati sull'identità che utilizzano in modo improprio credenziali compromesse per ottenere l'accesso a risorse mirate. Tale soluzione di Identity Threat Protection previene gli attacchi basati sull'identità attraverso il monitoraggio continuo, l'analisi dei rischi e l'applicazione in tempo reale delle policy di accesso Zero Trust per ogni utente, sistema e ambiente on-premise e nel cloud. La tecnologia garantisce la protezione MFA end-to-end e il monitoraggio continuo di tutte le autenticazioni on-premise e nel cloud.
Per fornire una protezione dedicata contro gli attacchi MFA prompt bombing, la tecnologia consente il blocco adattivo: dopo un certo numero di richieste MFA rifiutate entro un breve periodo di tempo, l'utente non riceve più richieste e le richieste vengono automaticamente rifiutate.
Proteggi le policy basate sul rischio
Inoltre, è possibile creare policy basate sul rischio che rilevano e prevengono i rischi di attività MFA anomale, ad esempio quando gli utenti ricevono un numero insolito di richieste in un breve periodo di tempo. Ciò consente agli amministratori di garantire che agli utenti non autorizzati venga impedito l'accesso alle risorse aziendali.
Inoltre, questa soluzione consente l'identificazione automatica delle attività dannose e dei rischi di tutte le richieste di autenticazione degli utenti e fornisce informazioni dettagliate su ogni richiesta MFA negata. Gli amministratori possono monitorare tutte le richieste di accesso tramite report giornalieri o inoltrando gli eventi syslog al proprio SIEM.
Gli attacchi di ingegneria sociale come MFA Prompt Bombing tentano specificamente di sfruttare le debolezze umane. Pertanto, oltre alle precauzioni tecniche di sicurezza, i dipendenti dovrebbero sempre ricevere informazioni complete in modo che siano preparati a questo tipo di attacco. Con le misure di cui sopra, le aziende possono rafforzare la loro resilienza contro i rapidi attacchi di bombardamento e rendere significativamente più difficile per gli aggressori aggirare la protezione MFA.
Altro su SilverFort.com
A proposito di Silverfort Silverfort fornisce la prima piattaforma unificata di protezione dell'identità che consolida i controlli di sicurezza IAM nelle reti aziendali e negli ambienti cloud per mitigare gli attacchi basati sull'identità. Utilizzando l'innovativa tecnologia agentless e proxyless, Silverfort si integra perfettamente con tutte le soluzioni IAM, unificando l'analisi dei rischi e i controlli di sicurezza ed estendendo la copertura ad asset che in precedenza non potevano essere protetti, come applicazioni interne e legacy, infrastruttura IT, file system, riga di comando strumenti, accesso da macchina a macchina e altro ancora.