Phishing e MFA? Sono sempre al sicuro?

Il Multi-Factor Authentication (MFA) è un sistema di sicurezza che richiede agli utenti di fornire più di un metodo di autenticazione per accedere ai propri account. In altre parole, oltre alla password, l’utente deve fornire un secondo fattore di autenticazione, come un codice generato dall’app sul proprio dispositivo mobile o una chiamata o un messaggio di testo al proprio numero di telefono.

L’utilizzo di un sistema MFA può aumentare significativamente la sicurezza degli account, poiché rende molto più difficile per gli hacker accedere alle informazioni personali degli utenti. Infatti, anche se un hacker riesce a scoprire la password di un utente, non può accedere all’account senza il secondo fattore di autenticazione.

Esistono diversi tipi di MFA, tra cui:

  • L’autenticazione a due fattori basata su token hardware, in cui l’utente deve inserire un codice generato da un dispositivo fisico
  • L’autenticazione a due fattori basata su SMS, in cui l’utente riceve un codice di verifica via SMS sul proprio telefono
  • L’autenticazione a due fattori basata sull’app, in cui l’utente utilizza un’app di autenticazione per generare un codice di verifica
  • L’autenticazione a due fattori basata sull’analisi del comportamento, in cui l’utente è autenticato in base alle sue abitudini di utilizzo del dispositivo

Oltre a garantire maggiore sicurezza, l’utilizzo di un sistema MFA può anche aiutare a prevenire gli attacchi di phishing e di social engineering. Infatti, gli hacker spesso utilizzano queste tecniche per cercare di ottenere la password di un utente, ma con l’utilizzo di un MFA, anche se l’hacker riesce a ottenere la password, non può accedere all’account senza il secondo fattore di autenticazione.

In sintesi, l’utilizzo di un sistema MFA può garantire maggiore sicurezza per gli account degli utenti poiché richiede più di un metodo di autenticazione per l’accesso, rendendo più difficile per gli hacker accedere alle informazioni personali degli utenti.

Attacchi informatici nei confronti di aziende italiane!

Come più volte osservato da Fortgale durante la protezione di aziende italiane, esiste il modo di sferrare un attacco di tipo Phishing capace di superare il meccanismo di protezione MFA.
L’attacco in questione è noto con il nome AiTM (Adversary-in-the-Middle), un tipo di attacco in cui l’attaccante riesce ad ottenere le credenziali degli utenti vittime attraverso l’utilizzo di email di Phishing.

Negli attacchi a più alto livello tecnico (più frequenti di quanto si possa credere) l’attaccante invia un’e-mail malevola da indirizzi con cui la vittima ha già scambiato e-mail in passato, ignorando la minaccia aprono il link contenuto nel corpo del messaggio (tipicamente si rimanda al download di un documento importante).

In realtà, il link maligno, rimanda a un sito proxy controllato dall’attaccante in cui all’utente viene chiesto di inserire le proprie credenziali.

In questo modo, l’attaccante riesce ad ottenere le credenziali dell’utente e a bypassare il sistema di protezione MFA (Multi-Factor Authentication) registrando un nuovo dispositivo MFA o creando un’applicazione OAuth con permessi sufficienti per accedere e gestire la casella di posta.

In questo modo l’attaccante può mantenere l’accesso persistente e continuare a spiare le attività dell’utente, rubare informazioni personali o sferrare ulteriori attacchi informatici nei confronti di altri obiettivi.

Il Phishing con tecnica AiTM è una minaccia per la sicurezza informatica poiché consiste nel bypass di sistemi di protezione MFA (considerati impenetrabili) attraverso l’utilizzo di email o messaggi di testo maligni e di siti proxy, controllati dai malintenzionati, per ottenere informazioni personali e credenziali degli utenti (credenziali e cookie di sessione).


Come difendiamo e proteggiamo le Aziende?

Il servizio MDR (Managed Detection and Response) di Fortgale è pensato per proteggere le aziende dagli attacchi informatici di tipo Phishing con tecnica AiTM. Questo servizio utilizza una combinazione di tecnologie avanzate per rilevare e rispondere alle minacce informatiche più evolute in tempo reale.

Il nostro Team è in grado di rilevare comportamenti anomali che possono indicare un attività offensiva, come l’utilizzo di siti web dannosi o la ricezione di email di phishing. Nel tempo abbiamo sviluppato regole di correlazione specifiche per identificare e bloccare le attività offensive.