Come evitare gli attacchi di prompt bombing tramite MFA

Il prompt bombing tramite autenticazione a più fattori è la prova lampante del fatto che non tutte le soluzioni di autenticazione a più fattori sono sicure. Nelle ultime settimane questa tecnica di social engineering ha suscitato molto interesse in quanto gruppi di criminali informatici l’hanno impiegata con esito positivo, come negli attacchi di Lapsus$.

Con questa tecnica gli hacker fingono di essere un’azienda che utilizza software con sistemi di autenticazione a più fattori affinché gli utenti possano rispondere alle richieste di identificazione e accedere a servizi e soluzioni. La vittima viene bombardata di notifiche con richieste di identificazione che vengono fatte passare come parte della procedura del programma di autenticazione a più fattori. Se l’utente viene convinto con l’inganno a credere che le richieste provengano dall’azienda e fa clic sulla notifica, gli hacker ottengono l’accesso ai sistemi aziendali. Questo tipo di attacco informatico può avvenire in molti modi diversi: gli hacker possono inviare una serie di richieste online per indurre l’utente ad accettare la richiesta di identificazione, con la convinzione di mantenere l’accesso a questi servizi; in altri casi inviano richieste con minore frequenza (una o due al giorno) per sviare i sospetti; in altri ancora, gli hacker chiamano più volte un utente specifico fingendo di essere un dipendente dell’azienda per ottenere la sua fiducia e comunicargli che verrà inviata una richiesta di autenticazione a più fattori. Come evitare gli attacchi di prompt bombing?

Come per tutti gli episodi in cui sono coinvolte le tecniche di social engineering, la diffidenza dell’utente e la sua formazione in materia di sicurezza informatica sono fondamentali e rappresentano la principale strategia di difesa. A tal proposito, se non hanno richiesto l’accesso in quel momento o se la richiesta proviene da una posizione diversa, i dipendenti non devono mai accettare una notifica push di identificazione per accedere ai programmi aziendali. In caso di dubbi è preferibile contattare e informare i manager IT e, nel frattempo, disattivare le notifiche.

Per quanto riguarda le notifiche push, spesso la tecnica del bombing è utilizzata e sfruttata nelle soluzioni di autenticazione a più fattori in cui non è presente una prima convalida con password o che vengono utilizzate come autenticazione unica senza password. Ciò non significa che un’azienda non possa mai far utilizzare ai propri dipendenti un sistema di notifiche push come procedura di autenticazione a più fattori, ma che dovrebbe fornire metodi di controllo del bombing o almeno monitorarne la frequenza e bloccarlo.

Tuttavia, è consigliabile utilizzare una soluzione avanzata di protezione e di gestione dell’identità in grado di verificare sempre quali dipendenti hanno scelto le notifiche push e di avvisarli se vengono bloccate, nonché mettere in pratica ulteriori meccanismi per aiutare i dipendenti che ricevono tantissime notifiche, come il blocco delle stesse per un certo periodo di tempo. L’accesso a questa soluzione di gestione dell’identità deve inoltre essere protetta da password: se l’hacker non ne entra in possesso, non può utilizzarla per bombardare la vittima.

In questo modo le aziende hanno pieno controllo sulle identità, sulle risorse, sugli account e sulle informazioni senza dover temere che qualcuno assuma la loro identità per utilizzare il bombing o altre tecniche e accedere ai sistemi.