MFA Fatigue: cos’è e come funzionano questi attacchi

Un attacco di MFA Fatigue trasforma una misura di sicurezza in un’arma contro le persone che dovrebbe proteggere. Gli aggressori bombardano gli utenti con ripetute notifiche push di autenticazione a più fattori (MFA) dopo aver rubato le loro credenziali di accesso. Alla fine, l’utente bersaglio si stanca delle continue interruzioni e accetta la richiesta di accesso, concedendo all’aggressore l’accesso.

Un attacco MFA Fatigue è una tecnica di social engineering in cui l’aggressore sfrutta la persistenza e il sovraccarico di notifiche per compromettere la capacità decisionale dell’utente durante il login. Un aggressore può ottenere credenziali utente valide utilizzando vari metodi, inclusi, ma non limitati a, phishing, acquisti sul dark web o metodi di brute force per i tentativi di login.

Una volta ottenute le credenziali di accesso valide, l’autore dell’attacco invia un flusso continuo di notifiche push MFA all’utente preso di mira, con l’obiettivo di infastidirlo, disorientarlo e stancarlo fino a indurlo ad approvare un tentativo di accesso fraudolento.

Gli attacchi MFA Fatigue differiscono dai normali attacchi in quanto, invece di prendere di mira un bug del software o una vulnerabilità della rete, prendono di mira l’utente del sistema. Il processo di autenticazione funziona correttamente, ma la persona dietro al sistema è stata sufficientemente infastidita, disorientata o affaticata da prendere una decisione sbagliata riguardo al proprio tentativo di accesso a causa del bombardamento costante di richieste di autenticazione.

Conosciuto anche come MFA bombing, MFA push spam o prompt bombing, l’attacco MFA Fatigue utilizza le stesse tattiche, indipendentemente dal nome. L’utente riceve più richieste di autenticazione dall’aspetto legittimo e, quando seleziona “approva” per una delle richieste, lo fa senza riflettere a sufficienza.

Brian Gleeson di Proofpoint lo riassume al meglio: “A volte, gli aggressori scelgono di adottare un approccio diretto che non è molto creativo o tecnico. Gli attacchi MFA Fatigue rientrano in questa categoria”. L’efficacia deriva dalla frequenza con cui le richieste MFA sono presenti nel lavoro quotidiano. Le persone accedono a diverse app e piattaforme più volte al giorno. Quando le notifiche push arrivano in un momento di grande attività o raggiungono un bersaglio ignaro, spesso le persone le accettano senza pensarci. Gli aggressori sfruttano queste vulnerabilità per far sembrare le loro richieste false delle normali procedure di sicurezza.

Gli attacchi MFA Fatigue seguono una serie prevedibile di eventi che coinvolgono sia tattiche tecniche che reazioni umane. Dal punto di vista tecnico, sembra semplice. Ciò che lo rende efficace è il modo in cui gli esseri umani reagiscono quando sono sotto pressione.

Fase 1: compromissione o furto delle credenziali

L’attacco inizia quando qualcuno ottiene credenziali valide che non gli appartengono. Il phishing, il credential stuffing contro le password riutilizzate o l’acquisto di grandi quantità di credenziali dal dark web sono tutti modi comuni utilizzati dagli attaccanti per ottenere username e password. A questo punto, tutto nell’ambiente sembra a posto perché l’aggressore sta utilizzando credenziali “reali” che appartengono a un utente reale.

Fase 2: il tentativo di accesso attiva l’MFA

Il passo successivo per l’aggressore è quello di utilizzare le credenziali rubate per accedere a un’applicazione cloud, una VPN, un portale SSO o un identity provider. La piattaforma di identità fa ciò che deve fare: invia un secondo fattore, che di solito è una notifica push o un prompt in-app al telefono dell’utente o all’applicazione di autenticazione. Si tratta di un normale flusso di accesso alla piattaforma, non di un exploit.

Fase 3: richieste ripetute (“bombing”)

Anziché fermarsi a un singolo tentativo di accesso fallito, gli aggressori continuano a sfruttare il volume creando script manuali per inviare ripetutamente le credenziali compromesse, il che si traduce in una raffica continua di richieste MFA inviate al dispositivo dell’utente ogni pochi secondi o minuti e/o ininterrottamente per ore.

Fase 4: stanchezza, confusione o urgenza dell’utente

Nel corso del tempo, le richieste ripetute causano all’utente un crescente senso di stanchezza, confusione e/o preoccupazione che qualcosa non vada bene. Quando gli utenti si trovano in questo stato emotivo e mentale, tendono ad approvare la richiesta MFA semplicemente per eliminare il fastidio causato dalle notifiche persistenti. In alcuni casi, gli aggressori aggravano ulteriormente la situazione fingendo di essere rappresentanti dell’IT o dell’help desk e istruendo l’utente ad approvare la richiesta MFA per “risolvere un problema” o “evitare il blocco dell’account”.

Fase 5: accesso non autorizzato

Una volta approvata una singola richiesta MFA, l’aggressore ottiene l’accesso non autorizzato alla risorsa presa di mira. Finché l’autore dell’attacco mantiene attiva una sessione autenticata, sarà in grado di muoversi lateralmente e ottenere accesso non autorizzato alle risorse, rubare informazioni sensibili, modificare le opzioni di configurazione e aggiungere ulteriori accessi senza dover affrontare un’altra sfida MFA.

In molti casi, la notifica push MFA rappresenta l’unica sfida di autenticazione secondaria per gli utenti. Pertanto, la singola decisione di approvazione o rifiuto è una vulnerabilità significativa per gli utenti che gli autori di attacchi malintenzionati sanno come sfruttare.

Gli attacchi MFA Fatigue sono una minaccia crescente perché prendono di mira uno dei livelli di sicurezza più affidabili. L’autenticazione multifattoriale basata su notifiche push sta diventando lo standard per le applicazioni cloud e le piattaforme di identità. Invece di concentrarsi sulla tecnologia, gli aggressori si limitano ad adattarsi e a concentrarsi sulla persona coinvolta. Questo sposta il problema tecnico (“l’MFA è configurato in modo errato”) al rischio umano (“l’MFA funziona come dovrebbe, ma gli utenti ricevono troppe richieste”).

Il problema è causato principalmente dal comportamento delle persone. Anche gli utenti esperti e consapevoli della sicurezza possono a volte stancarsi, distrarsi o agire in modo automatico. In una lunga giornata di lavoro piena di notifiche, basta un solo tocco riflessivo su “approva” perché un aggressore trasformi un controllo in un punto di accesso. Come rivela la ricerca di Proofpoint: “Quasi la metà di tutti gli account compromessi da malintenzionati avevano l’autenticazione a più fattori configurata. Eppure l’89% dei professionisti della sicurezza considera l’MFA una protezione completa contro la compromissione degli account”. Questo divario tra percezione e realtà è pericoloso.

Una volta che un hacker ottiene le credenziali, è relativamente semplice generare spam di notifiche push MFA, con un rapporto costo-beneficio molto favorevole per l’aggressore. La barriera per creare un attacco di successo è molto più bassa rispetto allo sviluppo di un exploit avanzato. È relativamente facile creare uno script che tenti continuamente di effettuare il login e generi abbastanza rumore da indurre un utente a cedere e approvare.

L’MFA Fatigue è stata la ragione principale alla base delle violazioni di alto profilo di aziende come Cisco, Uber e Microsoft. In tutte queste violazioni, gli utenti hanno accettato false richieste push a causa della pressione. Questi esempi dimostrano che anche un solo passaggio in un processo di “approvazione/rifiuto” può essere compromesso se gli utenti sono stanchi di quel processo.

Molte aziende si affidano all’MFA push-to-approve come ultimo livello di protezione, ma quando le notifiche diventano routine, gli utenti le approvano senza verificarle, vanificando i controlli che i responsabili della sicurezza considerano essenziali.

La rilevazione precoce blocca gli aggressori prima che ottengano l’accesso. I team di sicurezza e gli utenti finali devono prestare attenzione a questi segnali di allarme di attività di accesso insolite.

• Notifiche push MFA multiple in un breve lasso di tempo. Se un utente riceve cinque, dieci o più notifiche push in un breve lasso di tempo e non sta cercando di accedere, è probabile che un aggressore stia utilizzando credenziali rubate per attaccare l’endpoint di accesso.
• Richieste MFA in orari insoliti o al di fuori dell’orario di lavoro. Le richieste di autenticazione alle 2 del mattino o durante i giorni di vacanza, quando l’utente è offline, suggeriscono che qualcun altro sta tentando di accedere da un fuso orario o da una posizione diversa.
• MFA di tipo “Approva/Rifiuta” senza informazioni contestuali. Le richieste che non contengono dettagli come il dispositivo richiedente, la posizione, l’indirizzo IP o una sfida di corrispondenza numerica rendono più facile per gli utenti approvare senza un controllo approfondito.
• Tentativi di accesso da dispositivi o luoghi non riconosciuti. I registri di autenticazione che mostrano tentativi di accesso da un paese o da un dispositivo che l’utente non ha mai utilizzato, insieme alle notifiche push, sono chiari segnali che l’account è stato compromesso.
• Richieste ripetute su diversi dispositivi o servizi. Gli aggressori possono prendere di mira più di un account o piattaforma contemporaneamente per aumentare le possibilità di successo. Se ricevi più richieste MFA in un breve lasso di tempo da app di lavoro, VPN o servizi cloud, avvisa immediatamente qualcuno.
• Gli utenti segnalano richieste MFA che non possono interrompere. Se un utente legittimo cerca di interrompere il flusso di notifiche, ma le richieste continuano ad arrivare, significa che l’aggressore sta utilizzando strumenti automatizzati.
• Messaggi di follow-up che chiedono di approvare una richiesta MFA. Gli aggressori a volte utilizzano il vishing o la messaggistica insieme all’MFA bombing, fingendo di essere il personale dell’help desk per convincere le persone ad accettare durante il caos.

Questi indicatori forniscono ai team SOC e IT informazioni utili per individuare possibili campagne di MFA Fatigue già in corso. Quando i team di sicurezza cercano modelli come improvvisi aumenti della velocità di accesso, strane posizioni geografiche e reclami degli utenti relativi a troppe richieste, possono intervenire prima che un aggressore prenda piede.

Per fermare gli attacchi MFA Fatigue, sono necessari sia controlli tecnici che persone consapevoli della loro esistenza. L’obiettivo è quello di rendere più difficile per gli aggressori utilizzare il flusso “approva/rifiuta”, fornendo al contempo agli utenti e ai team di sicurezza strumenti migliori per individuare e fermare queste campagne.

Utilizzare metodi MFA resistenti al phishing

Le semplici notifiche push che chiedono agli utenti solo di approvare o rifiutare sono vulnerabili per loro stessa natura. Le aziende dovrebbero passare a opzioni MFA resistenti al phishing, come le richieste push con corrispondenza numerica, in cui gli utenti devono inserire un codice visualizzato nella schermata di accesso nella loro app di autenticazione. Le chiavi di sicurezza hardware (FIDO2/WebAuthn) e l’autenticazione basata su certificati eliminano completamente il punto di decisione umana, poiché si basano su prove crittografiche piuttosto che sull’approvazione dell’utente.

Limitare il volume delle richieste MFA e i tentativi di accesso

L’MFA bombing può essere facilmente mitigato utilizzando limiti di frequenza. Un metodo semplice consiste nell’implementare le seguenti restrizioni: Limitare il numero di richieste MFA consentite da un account in un breve periodo di tempo (ad esempio 1-5 richieste in un’ora). Quando un utente supera questo numero di tentativi, il sistema può bloccare l’account per un breve periodo di tempo. Avvisare il personale di sicurezza e/o richiedere un’autenticazione aggiuntiva prima di consentire all’utente di tentare nuovamente l’accesso

Monitorare i log di autenticazione per rilevare attività anomale

I team di sicurezza devono essere in grado di identificare rapidamente aumenti significativi nell’attività delle richieste MFA, poiché questo è un indicatore che qualcosa non va nell’account dell’utente. I SIEM, gli strumenti di rilevamento delle anomalie e i sistemi di rilevamento delle minacce all’identità possono segnalare modelli anomali come l’invio di un numero elevato di notifiche push a un utente contemporaneamente, tentativi di accesso provenienti da luoghi sconosciuti o richieste di autenticazione al di fuori dell’orario di lavoro. Identificare tempestivamente questi modelli anomali consente al team SOC di intervenire ed eventualmente impedire all’utente di rinunciare.

Formazione e security awareness

Anche i migliori controlli tecnici non funzionano se gli utenti non conoscono la minaccia. I programmi di security awareness dovrebbero chiarire che gli attacchi MFA Fatigue sono una minaccia reale e insegnare ai dipendenti a non approvare mai richieste MFA inaspettate, soprattutto quando sono sotto pressione o ricevono molte notifiche. Invece di cercare di fermare le richieste approvandone una, gli utenti dovrebbero sapere che devono segnalare immediatamente comportamenti strani.

Applicare l’accesso con privilegi minimi

Se un attacco MFA Fatigue funziona, è possibile ridurre i danni seguendo il principio del least privilege. Limita gli account amministrativi e privilegiati solo alle persone che ne hanno bisogno e rendi più difficile l’accesso a tali persone. Valuta la possibilità di richiedere token hardware o autenticazione contestuale per gli account di alto valore. Ciò limiterà i danni causati dall’approvazione accidentale di una richiesta dannosa.

Adottare l’autenticazione contestuale e adattiva

Se si utilizza solo l’MFA basata su push, si ha un unico punto di errore. Prima di concedere l’accesso a qualcuno, le aziende dovrebbero applicare i principi del least privilege e integrare ulteriori autenticazioni per affrontare i segnali di rischio. I sistemi di autenticazione contestuale controllano aspetti quali lo stato di salute del dispositivo, la reputazione IP, la posizione dell’utente e i suoi modelli di comportamento per verificare se un tentativo di accesso è reale.

Ad esempio, se qualcuno tenta di accedere da un nuovo paese alle 3 del mattino utilizzando un dispositivo non riconosciuto, il sistema può richiedere ulteriori prove di identità prima di inviare una richiesta MFA. Ciò impedisce agli aggressori di avviare il flusso di notifiche.

Proofpoint adotta un approccio di difesa in profondità per combattere gli attacchi MFA Fatigue, sovrapponendo più livelli di controllo di sicurezza. Questa soluzione a livello enterprise identifica i comportamenti di accesso sospetti, previene gli attacchi di phishing che lanciano campagne di MFA bombing e istruisce gli utenti finali a riconoscere le minacce prima che diventino vittime, riducendo il carico di lavoro dei team di sicurezza che rispondono agli attacchi basati sull’identità. Per ulteriori informazioni su come proteggere la tua azienda da questo tipo di minacce, contatta Proofpoint.