COME PROTEGGERE L'MFA DAGLI ATTACCHI DI PHISHING BASATI SU STRUMENTI DI REVERSE-PROXY

La crescente adozione di soluzioni di autenticazione a più fattori (MFA) ha spinto i phisher a sviluppare soluzioni ancora più sofisticate per portare avanti le loro operazioni dannose, compresi gli strumenti di reverse-proxy. Tuttavia, occorre sottolineare che nella maggior parte dei casi non solo le soluzioni di MFA a non avere un adeguato livello di protezione, bensì i token.
phishing-mfa-cyberattack

Cresce l’adozione dell'autenticazione a più fattori (MFA)

L'autenticazione a più fattori (MFA) non è diventata famosa solo a seguito del massiccio passaggio all’home working. Cosa ancora più importante, è stata resa obbligatoria per l'accesso ad alcuni prodotti e per soddisfare i requisiti normativi specifici di alcuni settori.

I servizi finanziari, per esempio, hanno dovuto conformarsi alla direttiva UE PSD2 che richiede loro di implementare l'autenticazione forte (SCA), attraverso una soluzione MFA, per proteggere l'accesso ai servizi bancari online, pagamenti e transazioni. Da parte sua, Google ha recentemente deciso di implementare l'autenticazione a due fattori (2FA o MFA) su tutti i suoi account, mentre Salesforce ha appena reso MFA obbligatorio per l'accesso ai suoi prodotti.

Con una soluzione di MFA, gli utenti finali devono fornire un secondo fattore di autenticazione oltre alla tradizionale combinazione login+password. Questa può essere una password una tantum (OTP) inviata via SMS / e-mail, o quello che viene chiamato un token di autenticazione (token software o hardware).

I metodi dei phisher per aggirare il MFA

Per un phisher (colui che effettua un attacco di phishing), il passaggio aggiuntivo del secondo fattore di MFA significa che rubare le informazioni tradizionali dell'account (cioè login + password) non è più una mossa sufficiente per ottenere il controllo.

Di conseguenza, gli hacker hanno dovuto sviluppare soluzioni ancora più sofisticate per sconfiggere la MFA e continuare i loro attacchi di phishing utilizzando strumenti di reverse proxy.


Dopo la pubblicazione del recente rapporto di Proofpoint, si è diffusa la voce che vedrebbe la MFA seriamente minacciata da soluzioni di reverse proxy adottate dai phisher.

Phishing kit MFA

Come afferma il rapporto di Proofpoint, oggi è abbastanza facile per i phisher comprare i kit di MFA per meno del prezzo di un caffè. Diversi tipi di kit sono stati identificati dai ricercatori di Proofpoint: da semplici kit open-source a kit più sofisticati che possono rubare nomi utente, password, token diautenticazione multifattore (MFA), numeri di previdenza sociale e numeri di carte di credito.

Strumenti di reverse proxy per bypassare il MFA

In seguito, i ricercatori di Proofpoint hanno individuato un nuovo tipo di kit. Questo utilizza un reverse proxy trasparente che presenta alla vittima una pagina che assomiglia esattamente all'applicazione legittima. In altre parole, questi nuovi kit sono progettati per presentare una versione altamente verosimile del sito originale.

Il reverse proxy offre lo stesso contenuto su un URL diverso. Cambia gli URL al volo e fornisce la stessa esperienza utente dell'applicazione originale. Così, l'utente, o in questo caso la vittima, si sente davvero come se stesse interagendo con l'applicazione legittima.

Tutto ciò che il malintenzionato deve fare è intercettare qualsiasi elemento condiviso tra l'applicazione e l'utente, come le password e soprattutto i cookie di sessione. Una volta rubato il cookie di sessione, l'attaccante può installarlo nel proprio browser per rubare la sessione dell'utente e interagire con l'applicazione come se fosse l'utente legittimo senza bisogno di autenticarsi nuovamente.

Queste nuove generazioni di kit di phishing che utilizzano i reverse proxy permettono di aggirare l'inserimento di login/password ma anche qualsiasi altro metodo di autenticazione come 2FA o MFA. Di conseguenza, e come sottolineano i ricercatori di Proofpoint, questi kit di phishing saranno in aumento e possiamo aspettarci che gli hacker li adottino abbastanza rapidamente man mano che la MFA diventa più diffusa.

Deviceless MFA, iL token per proteggersi dai kit di phishing che prendono di mira la MFA

Non solo le soluzioni MFA, ma anche i token stessi non hanno caratteristiche e un livello di protezione adeguato a difendersi dagli attacchi di phishing.

Deviceless MFA, di cosa si tratta?

Deviceless MFA è una tecnologia di autenticazione a più fattori che permette agli utenti finali di autenticarsi in modo sicuro e accedere alle loro applicazioni, alla rete e ai dati da qualsiasi browser. Non è necessario possedere uno smartphone, avere una chiave fisica, uno smartphone o un computer aziendale, o installare un'applicazione specifica.

"Con Deviceless MFA, è il browser web che diventa il token trusted".

Browser token per contrastare i kit di phishing che prendono di mira la MFA

Il Deviceless MFA è il token più affidabile per proteggere dagli attacchi di phishing. Esso verifica che il dispositivo trusted sia usato con un'applicazione legittima, bloccando così qualsiasi tentativo di phishing fatto su una versione dell'applicazione modificata dal reverse proxy usando un URL diverso da quello legittimo.

Autenticazione forte MFA senza compromessi

Contattaci per una demo o per richiedere il tuo account di prova

Livello di sicurezza molto alto

inWebo MFA possiede la tecnologia unica e brevettata delle dynamic random key che permette di offrire il più alto livello di sicurezza sul mercato. La soluzione è anche certificata dall'ANSSI.

Facile integrazione e distribuzione

Accessibile come SaaS, ricca di connettori, API e SDK, inWebo MFA si adatta ai tuoi vincoli tecnici, senza imporne di nuovi. Distribuisci una soluzione MFA rapidamente e su larga scala, senza contatto umano e senza logistica.

Esperienza utente senza password e senza dispositivi

inWebo permette di offrire una user experience semplificata, estesa a tutte le dimensioni di autenticazione, dalla registrazione al login, grazie ai suoi token universali (mobile, computer, tablet), passwordless e deviceless.

Ricevi tutte le notizie sull’autenticazione a due o più fattori

Le nostre ultime notizie

Richiedi una demo