L’autenticazione multi-fattore fa ormai parte del repertorio standard della sicurezza informatica. Chi si affida esclusivamente alle password agisce con negligenza. Tuttavia, l’idea che la MFA sia uno scudo impenetrabile e’ pericolosa. Negli ultimi anni gli aggressori hanno sviluppato diversi metodi affidabili per aggirare la MFA — e li utilizzano attivamente.
Cinque metodi con cui gli aggressori aggirano la MFA
1. Adversary-in-the-Middle (AitM)
Il metodo piu’ efficace contro la MFA tradizionale. Strumenti come Evilginx fungono da reverse proxy tra la vittima e il servizio di destinazione. L’utente inserisce le proprie credenziali e il codice MFA su una pagina di phishing estremamente convincente. Il proxy inoltra tutto al servizio legittimo, ma intercetta il token di sessione emesso. Risultato: l’aggressore ottiene una sessione autenticata — MFA completamente aggirata.
Particolarmente preoccupante: la piattaforma Tycoon 2FA offre questa tecnica come Phishing-as-a-Service. Secondo Sekoia, attraverso di essa sono gia’ stati inviati milioni di messaggi di phishing mirati a Microsoft 365 e Google Workspace. La soglia d’ingresso per gli aggressori si abbassa drasticamente.
2. MFA Fatigue / Prompt Bombing
L’aggressore conosce gia’ la password della vittima (ad esempio da una precedente violazione di dati) e attiva ripetutamente notifiche push sullo smartphone — nel cuore della notte, decine di volte di seguito. A un certo punto, l’utente esasperato tocca “Approva” solo per far cessare le notifiche. Esattamente cosi’ gli aggressori hanno ottenuto l’accesso ai sistemi interni di Uber nel settembre 2022.
3. SIM Swapping
La MFA basata su SMS e’ la variante piu’ debole. Nel SIM swapping, l’aggressore convince l’operatore di telefonia mobile — tramite social engineering o dipendenti corrotti — a trasferire il numero di telefono su una nuova scheda SIM. Da quel momento, tutti i codici SMS vengono recapitati all’aggressore. Secondo l’FBI, il SIM swapping ha causato danni per oltre 48 milioni di dollari nei soli Stati Uniti nel 2023.
4. Furto di token dopo l’autenticazione
La MFA protegge il processo di login, non la sessione successiva. Malware di tipo infostealer come RedLine o Raccoon estraggono cookie di sessione e token direttamente dall’endpoint. L’aggressore importa questi cookie nel proprio browser e rileva la sessione autenticata senza mai necessitare di una password o di un codice MFA. Microsoft riporta che gli attacchi di furto di token sono aumentati in modo significativo e sono diventati una delle maggiori minacce per i sistemi di identita’.
5. Social engineering contro gli help desk
Perche’ attaccare la tecnologia quando si puo’ attaccare la persona? Nel settembre 2023, il gruppo Scattered Spider ha chiamato il supporto IT di MGM Resorts, si e’ spacciato per un dipendente e ha fatto resettare la MFA. Dieci minuti di telefonata sono bastati per l’accesso iniziale. L’attacco ransomware che ne e’ seguito e’ costato a MGM oltre 100 milioni di dollari.
La soluzione: FIDO2 e Passkey
FIDO2 e’ l’unico standard MFA che per progettazione e’ resistente al phishing e agli attacchi AitM. Il motivo: l’autenticatore (chiave hardware o autenticatore di piattaforma) lega crittograficamente l’accesso al dominio del servizio legittimo. Una pagina di phishing su un dominio diverso semplicemente non riceve una firma valida — l’attacco fallisce a livello tecnico, indipendentemente dal comportamento dell’utente.
FIDO2 esiste in due varianti:
- Hardware Security Key come YubiKey o Google Titan: dispositivi fisici che si collegano tramite USB, NFC o Bluetooth. Ideali per account privilegiati e amministratori.
- Autenticatori di piattaforma (Passkey): integrati nel sistema operativo — Windows Hello, Apple Face ID/Touch ID, Android Biometrics. Nessun hardware aggiuntivo necessario, quindi adatti all’adozione di massa.
La FIDO Alliance e aziende come Microsoft, Google e Apple promuovono attivamente la diffusione dei Passkey dal 2023. CISA raccomanda esplicitamente FIDO2 come metodo MFA preferito per le infrastrutture critiche.
Misure pragmatiche per le aziende
Una migrazione completa e immediata a FIDO2 e’ irrealistica per la maggior parte delle organizzazioni. I seguenti passi riducono il rischio in modo graduale e tangibile:
- Dare priorita’ a FIDO2 per gli account privilegiati: migrare immediatamente amministratori, responsabili finanziari e account C-level su hardware security key.
- Attivare il number matching: chi utilizza ancora MFA basata su push (Microsoft Authenticator, Duo) deve imporre il number matching. Gli utenti devono confermare un numero visualizzato invece di toccare ciecamente “Approva”. Questo elimina in gran parte gli attacchi MFA fatigue.
- Eliminare la MFA basata su SMS: sostituire ogni autenticazione basata su SMS con TOTP basato su app o FIDO2.
- Implementare policy di Conditional Access: consentire gli accessi solo da dispositivi gestiti, posizioni note o endpoint conformi. I dispositivi sconosciuti richiedono un’autenticazione piu’ forte.
- Mettere in sicurezza i processi dell’help desk: reset della MFA solo dopo verifica dell’identita’ (richiamata, conferma del responsabile, prova d’identita’ separata). Nessun reset telefonico su semplice richiesta.
- Ridurre la durata dei token: limitare i token di sessione a una durata adeguata e attivare il token binding ove possibile.
Come Zerberos puo’ aiutare
Testiamo l’efficacia della Sua implementazione MFA in condizioni realistiche. I nostri penetration test comprendono simulazioni di phishing mirate con tecniche AitM, test di social engineering contro il Suo help desk e una valutazione della Sua architettura di autenticazione. Il risultato: chiarezza su dove la Sua MFA tiene — e dove fallisce.
Contatto: www.zerberos.com/kontakt
Fonti
- CISA – Implementing Phishing-Resistant MFA: cisa.gov/MFA
- Microsoft Digital Defense Report 2024: microsoft.com
- FIDO Alliance – Passkeys: fidoalliance.org/passkeys
- Sekoia – Tycoon 2FA Phishing Kit Analysis: blog.sekoia.io
- FBI IC3 – 2023 Internet Crime Report: ic3.gov