Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Autenticazione a più fattori nel mirino dei criminali. Colpite le identità degli utenti nella metà degli attacchi

Redazione RHC : 14 Settembre 2024 09:04

Milano, 10 settembre 2024 – A rischio l’autenticazione a più fattori. Secondo i dati riportati dal report del primo trimestre del 2024 di Cisco Talos Incident Response (Talos IR) – la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity – quasi la metà di tutti gli incidenti di sicurezza hanno riguardato questa problematica (MFA, Multi Factor Authentication).

Nel 25% dei casi, la causa è stata l’accettazione da parte degli utenti di notifiche push MFA fraudolente, mentre nel 21% è stata rilevata l’assenza di un’implementazione corretta dell’MFA. Nonostante negli ultimi anni ci siano stati molti progressi per quanto riguarda l’implementazione dell’autenticazione a più fattori all’interno delle aziende, i criminali informatici continuano a prendere di mira gli account protetti dall’MFA per poter accedere ai sistemi informativi aziendali.

Gli attacchi MFA

La tipologia più comune di attacchi che Cisco Talos ha dovuto gestire ha utilizzato le notifiche push MFA non autorizzate da parte degli utenti. Questa situazione si verifica quando l’aggressore tenta di autenticarsi ripetutamente a un account utente con credenziali valide al fine di sommergere le vittime di notifiche push MFA fino a quando, per esasperazione, la vittima accetta permettendo l’accesso. Cisco Duo, l’azienda di Cisco che si occupa di servizi di autenticazione multi-factor (MFA) e di accesso sicuro, ha rilevato, da giugno 2023 a maggio 2024, circa 15.000 attacchi basati su notifiche push. Cisco Duo ha inoltre constatato che il momento in cui avvengono questi attacchi è principalmente l’inizio della giornata lavorativa, quando gli utenti si autenticano per accedere ai sistemi aziendali.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Ecco i principali metodi, oltre alle notifiche push, utilizzati per eludere le difese MFA:

  1. Token di autenticazione rubati. I criminali utilizzano i token di sessione rubati ottenendo così un’identità legittima che gli permette di accedere ai sistemi aziendali.
  2. Ingegneria sociale del reparto IT. In genere, un aggressore si spaccia per qualcuno che la vittima conosce e cerca di trasmettere un senso di urgenza e importanza alle sue comunicazioni per incoraggiarlo a cliccare sul suo messaggio. Una volta ottenute le credenziali, il criminale le utilizza per entrare nei sistemi informativi e per aggiungere nuovi dispositivi abilitati all’autenticazione a più fattori.
  3. Compromissione di un fornitore dell’azienda presa di mira. Gli aggressori prendono di mira un fornitore per accedere all’MFA utilizzando il dispositivo compromesso.
  4. Compromissione di un singolo endpoint. Il fine è quello di aumentare i privilegi a livello di amministratore e quindi disattivare la protezione MFA.
  5. Attacchi As a Service. I criminali utilizzano applicazioni software erogate attraverso il dark web e, una volta ottenuto l’accesso ai sistemi informatici, utilizzano script per disabilitare gli strumenti di sicurezza.

Come difendersi

Ecco alcune raccomandazioni di Cisco Talos per implementare correttamente l’MFA:

  • Abilitare il number matching nelle applicazioni MFA per fornire un ulteriore livello di sicurezza e impedire agli utenti di accettare notifiche push MFA dannose.
  • Implementare l’autenticazione a più fattori su tutti i servizi critici, inclusi tutti i servizi di accesso remoto e di gestione dell’accesso all’identità (IAM).
  • Configurare un alert per l’autenticazione al fine di identificare rapidamente anomalie e modifiche nei criteri di autenticazione a più fattori.
  • Investire nella formazione degli utenti per aggiornarli sul panorama delle minacce informatiche e aiutarli a essere vigili, segnalando tempestivamente situazioni sospette.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Gli hacker criminali di The Gentlemen pubblicano la prima vittima italiana
Di Redazione RHC - 10/09/2025

Nella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) il primo attacco ad una azienda italiana. Disclaimer: Questo rapporto include s...

10 su 10! SAP rilascia patch di sicurezza per vulnerabilità critiche in Netweaver
Di Redazione RHC - 10/09/2025

SAP ha reso disponibili degli aggiornamenti per la sicurezza Martedì, con l’obiettivo di risolvere varie vulnerabilità. Tra queste vulnerabilità, ve ne sono tre particolarmente critiche che si ve...

Verso L’Uroboro! Il CEO di OpenAI avverte: i social sono pieni di contenuti dei bot AI
Di Redazione RHC - 10/09/2025

Ci stiamo avviando a passi da gigante vero l’uroboro, ovvero il serpente che mangia la sua stessa coda. Ne avevamo parlato qualche settimana fa che il traffico umano su internet è in calo vertigino...

Preludio alla compromissione: è boom sulle scansioni mirate contro Cisco ASA
Di Redazione RHC - 10/09/2025

A fine agosto, GreyNoise ha registrato un forte aumento dell’attività di scansione mirata ai dispositivi Cisco ASA. Gli esperti avvertono che tali ondate spesso precedono la scoperta di nuove vulne...

In Nepal si muore per i Social Network! In 19 hanno perso la vita per riavere Facebook
Di Redazione RHC - 09/09/2025

Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno...