avviso fbi

L’FBI avverte di attacchi che aggirano l’autenticazione a più fattori (MFA)

/in /da
Tempo di lettura: 4 minuti

Lo scorso mese il Federal Bureau of Investigation (FBI) degli Stati Uniti ha inviato una avviso di sicurezza al settore privato sulla crescente minaccia di attacchi contro le organizzazioni e i loro dipendenti, che possono aggirare l’autenticazione a più fattori (MFA).

INCIDENTI PASSATI DI BYPASS MFA

Mentre al giorno d’oggi ci sono diversi modi per aggirare le protezioni MFA, l’avviso dell’FBI ha specificamente messo in guardia sullo scambio di SIM, le vulnerabilità nelle pagine online che gestiscono le operazioni di MFA e l’uso di proxy trasparenti come Muraen e NecroBrowser.

Per chiarire il problema, l’FBI ha elencato i recenti incidenti in cui gli hacker avevano usato queste tecniche per aggirare MFA e rubare denaro da aziende e utenti. Citiamo dal rapporto:

Nel 2016 i clienti di un istituto bancario statunitense sono stati presi di mira da un cyber aggressore che ha trasferito i propri numeri di telefono su un telefono di cui era proprietario, un attacco chiamato scambio di SIM. L’aggressore ha chiamato i rappresentanti del servizio clienti delle compagnie telefoniche, trovando alcuni che erano più disposti a fornirgli informazioni per completare lo scambio di SIM. Una volta che l’attaccante aveva il controllo sui numeri di telefono dei clienti, ha chiamato la banca per richiedere un bonifico bancario dai conti delle vittime a un altro account di sua proprietà. La banca, riconoscendo il numero di telefono come appartenente al cliente, non ha posto domande di sicurezza ma ha richiesto un codice una tantum inviato al numero di telefono da cui stava chiamando. Ha anche chiesto di cambiare PIN e password ed è stato in grado di allegare i numeri di carta di credito delle vittime a un’applicazione di pagamento mobile.

Nel corso del 2018 e del 2019, l’Internet Crime Complaint Center dell’FBI e i reclami delle vittime dell’FBI hanno osservato l’attacco di cui sopra, lo scambio di SIM, come una tattica comune dei criminali informatici che cercano di eludere l’autenticazione a due fattori. Alle vittime di questi attacchi sono stati rubati i loro numeri di telefono, i loro conti bancari prosciugati e le loro password e PIN cambiate. Molti di questi attacchi si basano su rappresentanti del servizio clienti di ingegneria sociale per le principali compagnie telefoniche, che forniscono informazioni agli aggressori.

Nel 2019 un istituto bancario statunitense è stato preso di mira da un cyber aggressore che è stato in grado di sfruttare un difetto nel sito Web della banca per eludere l’autenticazione a due fattori implementata per proteggere i conti. L’aggressore informatico ha effettuato l’accesso con credenziali di una vittima e, quando ha raggiunto la pagina secondaria in cui il cliente avrebbe dovuto inserire un PIN e rispondere a una domanda di sicurezza, l’hacker ha inserito una stringa manipolata nell’URL Web impostando il computer come riconosciuto sul account. Ciò gli ha permesso di bypassare il PIN e le pagine delle domande di sicurezza e di avviare i bonifici dagli account delle vittime.

Nel febbraio 2019 un esperto di sicurezza informatica alla Conferenza RSA di San Francisco, ha dimostrato una grande varietà di schemi e attacchi che i cyber criminali potrebbero usare per eludere l’autenticazione a più fattori. L’esperto di sicurezza ha presentato esempi in tempo reale di come i pirati informatici potrebbero utilizzare attacchi man-in-the-middle e il dirottamento delle sessioni per intercettare il traffico tra un utente e un sito Web per condurre questi attacchi e mantenere l’accesso il più a lungo possibile. Ha anche dimostrato attacchi di social engineering, tra cui schemi di phishing o messaggi di testo fraudolenti che fingono di essere una banca o un altro servizio per indurre un utente ad accedere a un sito Web falso e a rinunciare alle proprie informazioni private.

Alla conferenza Hack-in-the-Box di giugno 2019 ad Amsterdam, gli esperti di sicurezza informatica hanno dimostrato una coppia di strumenti  Muraena e NecroBrowser  che hanno lavorato in tandem per automatizzare uno schema di phishing contro gli utenti. Lo strumento Muraena intercetta il traffico tra un utente e un sito Web di destinazione in cui viene richiesto di immettere le credenziali di accesso e un codice token. Una volta autenticato, NecroBrowser memorizza i dati delle vittime di questo attacco e dirotta il cookie di sessione, consentendo ai cyber pirati di accedere a questi account privati, sostituirli e modificare le password degli utenti e gli indirizzi di posta elettronica di recupero mantenendo l’accesso il più a lungo possibile .

L’AMF È ANCORA EFFICACE

L’FBI ha chiarito che la sua segnalazione dovrebbe essere presa solo come precauzione e non come un attacco all’efficienza dell’AMF, che l’agenzia raccomanda ancora. L’FBI raccomanda ancora alle aziende di utilizzare l’AMF.

Invece, l’FBI vuole che gli utenti delle soluzioni MFA siano consapevoli del fatto che i cyber-criminali ora hanno modi per aggirare tali protezioni degli account.

“L’autenticazione a più fattori continua ad essere una misura di sicurezza efficace per proteggere gli account online, purché gli utenti prendano precauzioni per assicurarsi che non cadano vittime di questi attacchi”, ha detto l’FBI.

GLI ATTACCHI MFA SONO RARI

Nonostante l’aumento del numero di incidenti e strumenti di attacco in grado di aggirare l’AMF , questi attacchi sono ancora incredibilmente rari e non sono stati automatizzati su vasta scala. La scorsa settimana, Microsoft ha affermato che gli attacchi che possono aggirare MFA sono così fuori dal comune, che non hanno nemmeno delle statistiche .

Al contrario, il produttore del sistema operativo ha affermato che, se abilitato, MFA ha aiutato gli utenti a bloccare il 99,9% di tutti gli hack degli account .

A maggio, Google ha detto una cosa simile, sostenendo che gli utenti che hanno aggiunto un numero di telefono di recupero ai loro account (e abilitato indirettamente MFA basato su SMS) hanno migliorato la sicurezza del loro account.

“La nostra ricerca mostra che la semplice aggiunta di un numero di telefono di recupero al tuo account Google può bloccare fino al 100% dei bot automatizzati, il 99% degli attacchi di phishing in blocco e il 66% degli attacchi mirati che si sono verificati durante la nostra indagine”, ha affermato Google .

Tutto sommato, l’AMF è ancora molto efficace nel prevenire la maggior parte degli attacchi di massa e automatizzati; tuttavia, gli utenti devono essere consapevoli che esistono modi per aggirare alcune soluzioni MFA, come quelle che si basano su verifiche basate su SMS.

Invece, gli utenti dovrebbero scegliere una soluzione MFA più forte che non sia vulnerabile a trucchi di social engineering come lo scambio di SIM o proxy trasparenti che possono intercettare il token MFA.

In questa pagina, un ingegnere della sicurezza di Microsoft ha analizzato il modo in cui le varie soluzioni MFA pagano contro gli attacchi MFA-bypass. Le soluzioni elencate nella parte inferiore della tabella sono le più efficaci.

 

Potrebbero interessarti
signal Correzione del segnale Bug intercettativo simile a FaceTime
researcherda 267 milioni di utenti di Facebook esposti in un database accessibile
virus android Il nuovo malware xHelper “inamovibile” per android
account hacharato I tuoi account sono hackerati?
Il Bluetooth dovresti smettere di usarlo
exploit simjacker L’exploit di Simjacker è indipendente dal tipo di telefono
SMS Verificato I messaggi sms verificati arrivano nell’applicazione messaggi di Android
cybersicurezza Cybersicurezza set.35-2019