I threat actors stanno sorpassando sempre di più l’autenticazione a due fattori (2FA da two-factor authentication o MFA da multi-factor authentication) delle aziende bersagliando i dipendenti con notifiche di conferma fino a quando non ne accettano una. Sebbene l’adozione dell’autenticazione a due fattori assicuri una maggiore protezione alle aziende, i criminali informatici, per superare la 2FA, stanno utilizzando sempre più spesso una tecnica di social engineering denominata “MFA Fatigue”.
Se l’autenticazione a più fattori di un’azienda è configurata per utilizzare le notifiche push, quando qualcuno tenta di fare il login con le sue credenziali il dipendente riceve un messaggio di notifica sul proprio dispositivo mobile in cui gli viene chiesto di verificare che il tentativo di accesso sia legittimo e dove avviene.
In un attacco MFA Fatigue, uno script malevolo tenta di accedere più e più volte con le credenziali rubate. In questo modo, un flusso interminabile di notifiche push di autenticazione viene inviato al dispositivo mobile del titolare dell’account spesso, giorno e notte. Nel seguente video su YouTube di Reformed IT è possibile osservare un esempio di come funzionano questi attacchi.
Spesso i threat actors contattano la vittima anche attraverso altri canali, come il telefono, fingendo di essere la divisione IT dell’azienda e simulando qualche problema per cui deve accettare la richiesta di autorizzazione. Spesso la vittima arriva a farlo, per convinzione o per sfinimento, dando accesso inconsapevolmente alla rete.
Per contrastare questo tipo di attacco Microsoft ha introdotto la possibilità di abilitare la corrispondenza dei numeri nelle notifiche push di Authenticator, che in futuro dovrebbe diventare predefinita. Un’altra soluzione consiste nel limitare il numero di richieste di autenticazione per utente e, laddove venisse superato, bloccare l’account o avvisare all’amministratore del dominio oppure, altresì, quella di passare all’autenticazione FIDO senza password.
https://www.securityinfo.it/2022/09/22/sempre-piu-attacchi-con-la-tecnica-dellmfa-fatigue/
