I lettori come te aiutano a sostenere MUO. Quando effettui un acquisto utilizzando i link sul nostro sito, potremmo guadagnare una commissione di affiliazione.
L'aumento degli incidenti di furto di credenziali ha costretto le aziende a implementare l'autenticazione a più fattori (MFA) per proteggere i propri dipendenti dalle gravi implicazioni del furto di password. Ma ora gli hacker stanno eseguendo attacchi di fatica MFA per aggirare questo ulteriore livello di protezione.
Quindi cos'è la fatica MFA? Come funzionano questi attacchi? E cosa puoi fare per proteggerti?
Che cos'è un attacco di fatica MFA?
Un attacco di affaticamento MFA comporta il bombardamento incessante di un proprietario di account con notifiche push MFA fino a quando non scivolano o si logorano psicologicamente e approvano la richiesta di accesso.
Una volta approvata una richiesta MFA, gli hacker possono accedere all'account dell'utente e utilizzarlo in modo improprio come preferiscono.
L'obiettivo principale di un tale attacco è inviare una raffica infinita di notifiche push MFA per infliggere un senso di stanchezza al proprietario dell'account.
A tempo debito, questo affaticamento MFA fa sì che il proprietario dell'account approvi la richiesta di accesso accidentalmente o consapevolmente per interrompere le notifiche push MFA.
Come funziona un attacco di fatica MFA
Con sempre più applicazioni e servizi adottare l'autenticazione a più fattori, l'approvazione delle notifiche push MFA può diventare un'attività di routine quando i proprietari di account devono approvare le richieste MFA più volte al giorno. Alla fine, l'approvazione quotidiana delle notifiche push MFA può rendere disattenti i proprietari degli account.
Inoltre, il costante bombardamento delle notifiche MFA può logorare i proprietari degli account, spingendoli ad approvare la richiesta di accesso, semplicemente per impedire alle notifiche di infastidirli.
Poiché i titolari di account utilizzano spesso app di autenticazione sui loro smartphone, gli hacker possono prenderli di mira 24 ore su 24, 7 giorni su 7 per logorarli.
Cosa succede in un attacco di fatica MFA?
Il primo passo degli attacchi di fatica MFA è ottenere le credenziali di accesso di un utente dell'account. Ci sono molti trucchi comuni per hackerare le password, inclusi attacchi di phishing, spidering e forza bruta.
Una volta che un utente malintenzionato ha le credenziali di accesso di un utente, lo bombarda con richieste di autenticazione a più fattori.
Gli aggressori sperano che:
- L'utente approverà il tentativo di accesso per errore.
- L'utente cederà a causa della pressione psicologica esercitata da un flusso infinito di richieste di MFA.
Gli attacchi di affaticamento MFA possono essere facilmente automatizzati. E spesso, Ingegneria sociale è combinato con un attacco di fatica MFA per far sì che l'attacco abbia successo.
Ad esempio, l'utente di destinazione riceve un'e-mail di phishing che richiede all'utente di approvare la richiesta MFA. Un'e-mail di phishing può anche informare l'obiettivo che potrebbe ricevere una raffica di più richieste di MFA nei prossimi giorni mentre viene implementato un nuovo sistema di sicurezza. L'e-mail può inoltre indicare che le richieste MFA verranno interrotte una volta che il proprietario dell'account avrà approvato il tentativo di accesso.
Come proteggersi da un attacco di affaticamento MFA
Ecco alcuni modi per stare al sicuro dagli attacchi di affaticamento MFA.
1. Abilita contesto aggiuntivo
L'abilitazione di un contesto aggiuntivo nelle richieste MFA può offrire una maggiore sicurezza e proteggerti dagli attacchi di fatica MFA.
Il contesto aggiuntivo in una richiesta MFA ti aiuta a capire quale account ha attivato la notifica MFA, l'ora del giorno quando è stato effettuato il tentativo di accesso, il dispositivo utilizzato per tentare l'accesso e la posizione del dispositivo in cui si è verificato il tentativo di accesso fatto.
Se vedi più richieste MFA attivate da una posizione o un dispositivo sconosciuto quando non stai tentando di accedere all'account, è un segno che un attore della minaccia sta tentando di inviarti spam. Dovresti immediatamente cambiare la password di quell'account e informa il tuo reparto IT se è collegato a una rete aziendale.
Molte app MFA hanno questa funzione abilitata per impostazione predefinita. Se la tua app di autenticazione non mostra un contesto aggiuntivo, immergiti nelle impostazioni della tua app per verificare se ha l'opzione per consentire un contesto aggiuntivo.
2. Adotta l'autenticazione basata sul rischio
L'utilizzo di un'app di autenticazione con funzionalità di autenticazione basata sul rischio può aiutare a difendersi dagli attacchi di affaticamento MFA. Tale app può rilevare e analizzare i segnali di minaccia in base a modelli di attacco noti e adeguare di conseguenza i requisiti di sicurezza.
I modelli di minaccia noti includono, a titolo esemplificativo ma non esaustivo, la posizione insolita del tentativo di accesso, ripetuti errori di accesso, molestie push MFA e molto altro.
Controlla se la tua app MFA offre l'autenticazione basata sul rischio. In tal caso, abilitalo per rimanere protetto dallo spamming push MFA.
3. Implementare l'autenticazione FIDO2
Adottando il FIDO2 forma di autenticazione in qualsiasi azienda può prevenire gli attacchi di fatica MFA.
FIDO2 fornisce agli utenti l'autenticazione senza password e l'autenticazione a più fattori basata sulla biometria. Poiché le tue credenziali di accesso non lasciano il tuo dispositivo, elimina il rischio di furto di credenziali, quindi gli attori delle minacce non possono eseguire lo spamming delle notifiche MFA.
4. Disabilita la notifica push come metodo di verifica
La funzione di notifica push MFA è progettata per offrire facilità d'uso. I proprietari di account devono solo fare clic su "Sì" o "Consenti" per accedere ai propri account.
Gli attacchi di affaticamento MFA sfruttano questa funzionalità delle app di autenticazione. Disabilitare queste semplici notifiche push come metodo di verifica nella tua app di autenticazione è un modo collaudato per aumentare la sicurezza MFA.
Ecco alcuni metodi che puoi utilizzare per verificare una richiesta MFA:
- Corrispondenza numerica.
- Sfida e risposta.
- Password monouso basata sul tempo.
Il vantaggio dell'utilizzo di una password monouso con corrispondenza numerica o basata sul tempo come metodo di verifica è che gli utenti non possono approvare una richiesta MFA per sbaglio; avranno bisogno delle informazioni necessarie per completare il processo di verifica.
Controlla la tua app di autenticazione per sapere quale funzione di verifica MFA puoi utilizzare invece di semplici notifiche push, chiedendo agli utenti di fare clic su "Sì" o "Consenti" per approvare i tentativi di accesso.
5. Limita le richieste di autenticazione
Limitare il numero di richieste di accesso in un'app di autenticazione può aiutare a prevenire il bombardamento rapido o l'affaticamento dell'MFA. Ma non tutti gli autenticatori offrono questa funzionalità.
Verifica se il tuo autenticatore MFA ti consente di limitare le richieste di autenticazione; successivamente, l'account verrà bloccato.
6. Diffondere la consapevolezza della sicurezza attorno all'MFA
Se gestisci un'azienda, il modo migliore per contrastare gli attacchi di affaticamento MFA è la formazione sulla consapevolezza della sicurezza. Assicurati che i tuoi dipendenti sappiano che aspetto ha un attacco di affaticamento MFA e cosa fare quando si verifica. Inoltre, dovrebbero essere in grado di individuare un'e-mail di phishing, che richiede loro di approvare le richieste di MFA.
Formare regolarmente i tuoi dipendenti sulle migliori pratiche di sicurezza informatica è molto utile per proteggere gli account.
Non farti spingere in un errore
L'autenticazione a più fattori aggiunge un ulteriore livello di sicurezza ai tuoi account. Proteggerebbe i tuoi account anche se gli attori delle minacce avessero accesso alle tue credenziali di accesso. Ma dovresti stare attento a un attacco di affaticamento MFA. Potrebbe essere fastidioso, ma non cedere.
