No, non tutti i siti MFA sono vulnerabili al bombardamento immediato.

Avete mai sentito parlare di MFA prompt bombing? È il tema più scottante nel mondo della cybersecurity. Questa tecnica è stata recentemente utilizzata contro Uber dal noto gruppo di hacker "Lapsus$".

E Uber è tutt'altro che un caso isolato. I criminali informatici di oggi innovano costantemente sfruttando le più piccole falle del mondo digitale. Sono in grado di aggirare alcuni sistemi di autenticazione forte (2FA ) che forniscono un ulteriore livello di sicurezza agli account degli utenti, ma che è largamente insufficiente data la complessità degli attacchi odierni.

MFA fatica e bombardamento di spinta

L'Identity Defined Security Alliance (IDSA) ha recentemente pubblicato un rapporto sulle tendenze della sicurezza delle identità digitali nel 2022. Dei 500 professionisti IT intervistati, l'84% ha dichiarato che la propria organizzazione ha subito un furto di identità nell'ultimo anno¹. Si tratta di un aumento di 5 punti rispetto al rapporto dell'anno precedente.

Di fronte a queste minacce, è più che essenziale sensibilizzare dipendenti e clienti sulle buone pratiche e rafforzare le infrastrutture di sicurezza esistenti.

Come funziona il prompt bombing?

Gli attacchi di tipo Prompt Bombing (o push bombing) utilizzano l'autenticazione a più fattori per bombardare gli utenti con notifiche push e violare i loro account. Intenzionalmente o meno, alcuni finiscono per accettare le richieste avviate dagli hacker.

Per accedere ai dati dei loro obiettivi, gli hacker ottengono illegalmente credenziali valide. Durante il tentativo di login, fanno affidamento sul fatto che l'utente convaliderà l'autenticazione venendo "bombardato" di richieste. Il termine "MFA Fatigue" è usato per descrivere la stanchezza degli utenti di fronte a queste innumerevoli notifiche.

Sembra banale, ma ha funzionato con Uber. L'aggressore ha utilizzato i dati di accesso di un dipendente e ne ha approfittato per inviargli notifiche push in modo aggressivo. Prima di approvare la transazione in questione, l'utente è stato addirittura contattato su WhatsApp da un sedicente membro del team IT della sua azienda, che gli ha chiesto di accettare la notifica per farla cessare. Si tratta di una forma di ingegneria sociale.

Un tentativo di prompt bombing riuscito può offrire agli hacker l'opportunità di aggiungere il proprio dispositivo all'account violato e di rimuovere l'accesso dell'utente originale. A seconda delle autorizzazioni della vittima all'interno dell'organizzazione, gli hacker possono accedere e sfruttare dati e risorse più o meno riservati.

Combattere il bombardamento immediato con MFA inWebo

Gli attacchi moderni richiedono l'uso di metodi moderni. Ecco le diverse soluzioni proposte da inWebo per contrastare il prompt bombing:

Impostazione del servizio per una maggiore sicurezza

inWebo offre un ulteriore livello di sicurezza grazie alle opzioni di impostazione. Ad esempio, è possibile rendere obbligatorio il codice PIN e non consentire la biometria sui telefoni cellulari, il che incoraggia l'accettazione involontaria o abituale.

Impostare il mio strumento
È sufficiente accedere alla sezione "Parametri del servizio" dello strumento di amministrazione. Qui è possibile scegliere se autenticarsi con o senza PIN e disattivare il campo "Autenticazione con biometria consentita". Attenzione: quando il PIN è disattivato, l'autenticazione biometrica non può essere consentita.
Impostazione dello strumento di amministrazione inWebo

Registrazione dei browser degli utenti

La soluzione inWebo Browser token consente di registrare i browser web e mobili. Questo certifica che il tentativo di connessione proviene da un browser affidabile, ossia da un dispositivo elencato dall'azienda. È possibile renderlo obbligatorio per aumentare in modo significativo la sicurezza delle connessioni. Questo sistema risponde sia al bombardamento immediato che ai potenziali attacchi del servizio di phishing Evil Proxy.

Vuoi iscrivere il tuo browser?

Scoprite come aggiungere un utente alla vostra piattaforma e consentirgli di autenticarsi in modo sicuro. Attivate il vostro account seguendo le procedure descritte nell'e-mail di invito. Registrate il vostro browser di fiducia attivando e impostando il PIN e la frase anti-phishing. Aggiungete il vostro cellulare o completate le procedure direttamente sul vostro browser.

Disattivare le notifiche push

Il sistema di autenticazione a più fattori di inWebo consente di disattivare le notifiche push e di consentire all'utente di accedere da solo all'area di convalida dei tentativi di connessione. L'utente è protetto da attacchi di tipo prompt bombing.

Generare una password unica (OTP)

I metodi sopra descritti possono essere resi ancora più efficaci con la "One-time password" di inWebo (OTP). Questo sistema richiede all'utente di generare una password unica sul proprio cellulare. Questo OTP deve poi essere inserito nel browser di fiducia. Senza alcuna sollecitazione esterna, la connessione ai dati più sensibili è protetta al massimo livello passando attraverso una catena di dispositivi certificati.

Portale di autenticazione
Generare un OTP
Utilizzare il sito OTP per accedere
Come generare un OTP con inWebo?

A tal fine, è sufficiente accedere al portale di autenticazione dell'organizzazione e selezionare "Mostrami altre opzioni". Vi verrà chiesto il vostro nome utente e OTP . Accedere all'applicazione mobile e fare clic su "Generate an OTP". Verrà quindi fornita una password unica, che scadrà automaticamente dopo 30 secondi. Inserire questa password nel browser per convalidare l'autenticazione.

C'è ancora un po' di strada da fare prima che i sistemi MFA siano completamente resistenti ai bombardamenti immediati. Detto questo, come dimostra la soluzione di autenticazione inWebo MFA, esistono già molti modi per combattere la diversità tecnica e sociale degli attacchi informatici, a condizione che si presti attenzione alla scelta degli strumenti utilizzati e alle politiche di sicurezza adottate. Non tutte le soluzioni MFA sono uguali e la 2FA non è forte come MFA.

Sensibilizzare e formare gli utenti alle buone pratiche

L'implementazione di questi meccanismi di sicurezza da sola non è sufficiente. È ora necessario sensibilizzare gli utenti sugli attacchi di tipo prompt bombing e insegnare loro ad adottare i comportamenti corretti. Queste azioni preventive facilitano l'identificazione di richieste di autenticazione sospette e la reazione di conseguenza.

Ad esempio, alcuni clienti di inWebo hanno lanciato campagne basate sulla capacità della nostra API di inviare notifiche push. Con un semplice script, gli amministratori possono simulare attacchi di tipo prompt bombing su tutti o parte degli utenti della soluzione. In questo modo, individuano gli utenti che segnalano correttamente l'attacco o, al contrario, quelli che vi cedono. In questo modo è possibile indirizzare e adattare i messaggi di sensibilizzazione alla maturità tecnologica dei vari pubblici.

Rafforzate la vostra infrastruttura di sicurezza con inWebo Browser Token

Quest'anno, l'82% delle violazioni di dati ha coinvolto un fattore umano². Questi sono i risultati del 2022 Data Breach Investigations Report di Verizon. Lo studio, basato su 23.000 incidenti e 5.200 violazioni confermate in tutto il mondo, sottolinea l'importanza dei programmi di sensibilizzazione. Il caso Uber è in linea con i risultati di questa indagine.

Se da un lato le infrastrutture di sicurezza esistenti offrono una vera e propria barriera di protezione, dall'altro possono creare attriti e alterare l'esperienza dell'utente. I moderni metodi di autenticazione a più fattori raccomandano ora l'uso di chiavi di sicurezza FIDO2. L'abbinamento di queste chiavi hardware con la tecnologia inWebo Browser Token aiuta a combattere il phishing e il bombardamento di notifiche push.
Come funziona il prompt bombing?
Gli attacchi di tipo Prompt Bombing (o push bombing) sfruttano le falle dei sistemi di MFA per bombardare gli utenti con notifiche push e violare i loro account. Alcuni hacker, come nel caso di Uber, contattano addirittura le loro vittime su WhatsApp per convincerle ad accettare queste richieste di autenticazione.
Che cos'è l'affaticamento MFA ?

L'affaticamento di MFA è caratterizzato dal fatto che gli utenti si stancano delle innumerevoli notifiche push che ricevono durante un tentativo di bombardamento MFA .

Cos'è l'autenticazione multi-fattore (MFA)?

L'autenticazione a più fattori (MFA), o autenticazione forte, è un processo di sicurezza che richiede due o più fattori di verifica per provare l'identità di un utente. Il più delle volte, questo comporta l'accesso a una rete, un'applicazione o un'altra risorsa senza fare affidamento sulla semplice combinazione ID + password.

Autenticazione forte MFA senza compromessi

Contattaci per una demo o per richiedere il tuo account di prova

Livello di sicurezza molto alto

inWebo MFA possiede la tecnologia unica e brevettata delle dynamic random key che permette di offrire il più alto livello di sicurezza sul mercato. La soluzione è anche certificata dall'ANSSI.

Integrazione e deployment facili

Accessibile come SaaS, ricca di connettori, API e SDK, inWebo MFA si adatta ai tuoi vincoli tecnici, senza imporne di nuovi. Distribuisci una soluzione MFA rapidamente e su larga scala, senza contatto umano e senza logistica.

Esperienza utente passwordless e deviceless

inWebo permette di offrire una user experience semplificata, estesa a tutte le dimensioni di autenticazione, dalla registrazione al login, grazie ai suoi token universali (mobile, computer, tablet), passwordless e deviceless.

Ricevi tutte le notizie sull’autenticazione a due o più fattori

Le nostre ultime notizie

Richiedi una demo