Vai al contenuto

Questo post è stato pubblicato per la prima volta nel 2022 ed è stato aggiornato. 

Con recenti segnalazioni di bombardamenti rapidi di MFA andati a buon fine, RSA ha ricevuto più richieste di indicazioni pratiche su come ridurre il rischio. In precedenza abbiamo illustrato come gli aggressori utilizzino ripetute richieste di approvazione per spingere gli utenti ad accettare un tentativo di accesso fraudolento. Questo post si basa su queste basi e si concentra su specifici aspetti. RSA ID Plus configurazioni che potete utilizzare per rilevare schemi sospetti, limitare le approvazioni push quando il rischio è elevato e rafforzare le vostre difese contro il bombardamento dei prompt MFA.

Che cos'è il prompt bombing MFA?

MFA prompt bombing, chiamato anche push bombing o an Attacco di stanchezza MFA, Il problema si verifica quando un aggressore invia ripetutamente richieste di approvazione MFA al dispositivo di un utente. L'obiettivo è quello di sopraffare l'utente finché non approva una richiesta, spesso dopo che l'aggressore ha già ottenuto la password dell'utente.

Questo funziona perché il sistema push autenticazione a più fattori si basa sulla capacità dell'utente di rifiutare richieste sospette sul momento. I fattori che richiedono un input intenzionale da parte dell'utente, come l'inserimento di un codice di accesso unico o l'utilizzo di un autenticatore resistente al phishing, sono in genere meno suscettibili perché un aggressore non può semplicemente spammare le approvazioni.

Come funziona il prompt bombing MFA?

Gli attacchi MFA prompt bombing, push bombing e MFA fatigue iniziano in genere dopo che un aggressore ha ottenuto un nome utente e una password validi. L'aggressore tenta di accedere e attiva ripetutamente richieste MFA di tipo push al dispositivo registrato dell'utente. Ogni richiesta chiede all'utente di approvare o negare il tentativo di accesso.

Poiché l'autenticazione push è progettata per la comodità, gli utenti possono approvare l'accesso con un solo tocco. Se viene inviato un numero sufficiente di messaggi in successione, un utente distratto o affaticato potrebbe approvare una richiesta, consentendo all'aggressore di completare il processo di autenticazione.

L'autenticazione basata su push funziona bene in scenari legittimi perché elimina la necessità di un autenticatore fisico e riduce l'attrito rispetto ai token hardware o ai codici monouso inseriti manualmente. Tuttavia, questo modello di approvazione o rifiuto si basa sulla capacità dell'utente di riconoscere e respingere i tentativi sospetti, creando così l'opportunità di attacchi di tipo prompt bombing.

Tipi di attacchi di bombardamento di MFA

Sebbene la maggior parte degli attacchi di bombardamento MFA abbia come obiettivo le notifiche push, esistono delle varianti che i team di sicurezza dovrebbero conoscere:

  • Push Bombing (Fatica classica dell'AMF): Vengono inviate notifiche push ripetute finché l'utente non approva la richiesta.
  • Attacchi ibridi di ingegneria sociale: Dopo aver avviato il push bombing, l'aggressore contatta l'utente, impersonando il supporto IT, e gli chiede di approvare la richiesta. 
  • Tentativi di flooding OTP: In alcuni casi, gli aggressori attivano ripetutamente codici di accesso unici tramite SMS o altri canali di trasmissione, cercando di confondere l'utente o di combinare la tattica con il phishing.

La comprensione di queste variazioni aiuta le organizzazioni a progettare difese stratificate piuttosto che affidarsi alla sola vigilanza degli utenti.

Perché il prompt bombing funziona

Gli attacchi di tipo Prompt Bombing hanno successo perché prendono di mira il comportamento umano tanto quanto la tecnologia. Quando gli utenti ricevono ripetute richieste di autenticazione, telefonate o messaggi, gli aggressori mirano a creare confusione, urgenza e comportamenti di approvazione di routine. Per questo motivo, per difendersi dall'affaticamento dell'MFA è necessario fornire agli utenti aspettative chiare, percorsi di segnalazione semplici e modi affidabili per verificare le richieste sospette.

Gli utenti necessitano di una formazione continua per mantenere la consapevolezza

Gli utenti devono sapere che qualsiasi richiesta di autenticazione non iniziata da loro deve essere considerata sospetta. La formazione annuale di sensibilizzazione sulla sicurezza può supportare la conformità, ma raramente prepara utenti per i tentativi di social engineering in rapida evoluzione. Una guida breve e ripetuta è più efficace perché rafforza l'aspetto del comportamento sospetto in situazioni reali.

Gli utenti hanno bisogno di un modo chiaro per rispondere 

Quando gli utenti ricevono una notifica push inaspettata o un messaggio di follow-up, devono sapere esattamente cosa fare. Ciò significa fornire un modo semplice e noto per segnalare il problema e contattare il service desk o il team di sicurezza. Più facile è questo processo, più è probabile che gli utenti agiscano rapidamente.

La verifica riduce il rischio di social engineering

Gli aggressori spesso combinano il push bombing con chiamate, testi, e-mail o messaggi di chat per spingere gli utenti ad approvare una richiesta. Le organizzazioni devono definire le modalità con cui i team di supporto contattano legittimamente gli utenti e fornire ai dipendenti un metodo affidabile per verificare le comunicazioni prima di agire.

Domande da porre

I team di sicurezza dovrebbero considerare le seguenti domande per difendersi dagli attacchi MFA prompt bombing:

  • Gli utenti sanno come rispondere a una richiesta push inaspettata?
  • Gli utenti possono segnalare rapidamente un evento di autenticazione sospetto?
  • I dipendenti sanno come contattare il service desk o il team di sicurezza?
  • Gli utenti capiscono come dovrebbe avvenire il supporto legittimo?
  • Esiste un processo chiaro per verificare se un messaggio, una chiamata o una richiesta sono reali?
Come rilevare gli attacchi MFA prompt bombing

Negli scenari di prompt bombing, gli aggressori generano ripetute approvazioni push in un breve periodo di tempo. Gli utenti spesso negano o ignorano le prime richieste, ma una singola approvazione accidentale può completare l'accesso. Questo rende essenziale il rilevamento basato su modelli.

Cercate indicatori quali:

  • Rifiuti o timeout ripetuti di push per lo stesso utente entro una breve finestra
  • Richieste multiple di MFA in rapida successione, soprattutto al di fuori del normale comportamento di login
  • Tentativi di accesso da dispositivi, indirizzi IP o luoghi sconosciuti legati allo stesso conto
  • Un picco di attività push su più utenti, che può indicare una campagna più ampia

Un singolo push negato non indica un attacco. Più dinieghi o timeout raggruppati, soprattutto se associati ad altri segnali di rischio, dovrebbero far scattare le indagini.

Rilevamento del bombardamento immediato in RSA ID Plus

Ogni evento di autenticazione in RSA ID Plus viene registrato con dati dettagliati sugli eventi che possono essere utilizzati per identificare modelli di bombardamento immediato. I team di sicurezza devono monitorare le occorrenze ripetute o anomale di eventi quali:

  • 702 - L'autenticazione di approvazione non è riuscita: La risposta dell'utente è scaduta
  • 703 - L'autenticazione di approvazione non è riuscita: Approvazione negata all'utente
  • 802 - Autenticazione biometrica del dispositivo non riuscita: Timed out
  • 803 - Autenticazione biometrica del dispositivo non riuscita

Quando questi eventi appaiono in successione per lo stesso utente, possono indicare un tentativo di bombardamento MFA attivo. L'abbinamento di questi pattern di log con i segnali di dispositivo, posizione e fiducia migliora l'accuratezza e aiuta i team a reagire prima che si verifichi un'approvazione.

Come difendersi dagli attacchi MFA di tipo prompt bombing

Per una difesa efficace non basta dire agli utenti di non approvare le richieste sconosciute. Le organizzazioni dovrebbero combinare l'educazione degli utenti, le opzioni di fattore più forti e il monitoraggio per ridurre le opportunità di abuso.

L'MFA basato su push è vulnerabile perché dipende dal fatto che l'utente prenda la decisione giusta al momento. I fattori che richiedono un'azione deliberata da parte dell'utente, come i codici di accesso unici o gli autenticatori resistenti al phishing, sono generalmente meno suscettibili alle richieste di approvazione ripetute.

Le principali misure difensive comprendono:

  • Educate gli utenti a rifiutare le richieste inaspettate, a segnalarle immediatamente e a reimpostare le credenziali quando necessario.
  • Preferire fattori più forti per le applicazioni, gli utenti e gli scenari di accesso a più alto rischio.
  • Monitorate i ripetuti messaggi di rifiuto o di interruzione del tempo e segnalate gli schemi sospetti.
  • Protezione dell'iscrizione e del recupero MFA, in modo che gli aggressori non possano registrare un nuovo dispositivo dopo aver ottenuto l'accesso.
  • Notificare agli utenti l'aggiunta, la rimozione o la modifica degli autenticatori.
  • Esaminate i segni di credenziali compromesse e verificate se le politiche MFA consentono un accesso eccessivo con una verifica limitata.

Quando questi controlli funzionano insieme, le organizzazioni limitano la loro esposizione agli attacchi di tipo prompt bombing. 

In che modo RSA ID Plus aiuta a difendersi dal bombardamento dei prompt MFA

All'interno RSA ID Plus, I metodi di autenticazione sono mappati ai livelli di garanzia e gli amministratori possono creare criteri che determinano il livello di garanzia richiesto in base al contesto. Quando il rischio è elevato, le policy possono richiedere metodi di autenticazione più forti invece di consentire l'approvazione push.

RSA ID Plus supporta anche un approccio più dinamico grazie a Fiducia nell'identità. Il motore di fiducia valuta i tentativi di autenticazione in tempo reale e restituisce un punteggio di fiducia alto o basso. Questo segnale può essere utilizzato nelle decisioni di policy per consentire le approvazioni push quando la fiducia è alta e richiedere l'autenticazione step-up quando la fiducia è bassa.

Per gli utenti segnalati come ad alto rischio, l'elenco degli utenti ad alto rischio consente controlli più severi. Gli strumenti di sicurezza possono contrassegnare un utente come ad alto rischio in base ad avvisi o attività sospette, e le policy possono quindi negare l'accesso o richiedere fattori di garanzia più elevati per ridurre l'esposizione alle tattiche di affaticamento MFA.

FAQ sul bombardamento dei prompt MFA
Cosa devo fare se sono stato vittima di un attentato?

Se avete approvato una richiesta MFA che non avete avviato, consideratela come una potenziale compromissione dell'account. Segnalate immediatamente l'incidente al vostro team di sicurezza, quindi cambiate la password ed esaminate l'attività di accesso recente alla ricerca di sessioni o dispositivi sospetti. Il team di sicurezza dovrebbe anche revocare le sessioni attive, verificare che non siano stati registrati nuovi autenticatori e richiedere un'autenticazione graduale prima di ripristinare l'accesso.

Che cos'è il prompt bombing MFA?

Il prompt bombing MFA, chiamato anche push bombing o attacco MFA fatigue, si verifica quando un aggressore invia ripetutamente richieste di approvazione MFA al dispositivo di un utente. L'obiettivo è quello di sopraffare l'utente finché non approva una richiesta, spesso dopo che l'aggressore ha ottenuto la password dell'utente.

Cosa fare se si riceve un prompt MFA che non si è richiesto?

Non approvatela. Rifiutate la richiesta, se ne avete la possibilità, e segnalatela al team di sicurezza il prima possibile. Se ricevete richieste ripetute, fermatevi e verificate se qualcuno sta tentando di accedere al vostro account. Per precauzione, reimpostare la password e seguire le indicazioni dell'organizzazione per convalidare la sicurezza del dispositivo e dell'account.

In che modo i team di sicurezza possono rilevare gli attacchi MFA prompt bombing?

Il rilevamento è solitamente basato su schemi. Cercate i rifiuti o i timeout ripetuti per lo stesso utente in un breve periodo, le richieste di MFA che esulano dal normale comportamento di accesso o i tentativi di accesso da dispositivi o luoghi sconosciuti. Questi schemi sono segnali più forti se correlati ad altri indicatori di rischio.

Come si fermano gli attacchi MFA di tipo prompt bombing?

Riducete la dipendenza dalle sole approvazioni degli utenti. Utilizzate criteri che limitino i casi in cui è consentita l'autenticazione push, richiedano un'autenticazione graduale quando il rischio è elevato e monitorino le richieste ripetutamente rifiutate o con tempi di attesa. È importante anche proteggere l'iscrizione e il ripristino dell'MFA, in modo che gli aggressori non possano registrare un nuovo dispositivo dopo aver ottenuto l'accesso.

L'MFA basato su push è ancora sicuro?

L'MFA push può essere efficace, ma è più suscettibile alle tattiche basate sulla stanchezza perché dipende dalla rapidità con cui l'utente prende la decisione giusta. Le organizzazioni possono ridurre il rischio combinando il push con controlli basati sul rischio, opzioni di autenticazione più forti per gli accessi a rischio più elevato e avvisi su modelli di richiesta anomali.

I codici di accesso unici sono più sicuri delle notifiche push?

I codici di accesso monouso sono generalmente meno suscettibili al prompt bombing perché l'aggressore non può spammare le approvazioni. Tuttavia, i metodi OTP possono ancora essere presi di mira attraverso il phishing o l'intercettazione, a seconda del metodo di consegna. Molte organizzazioni utilizzano gli OTP e gli autenticatori resistenti al phishing come opzioni successive quando il rischio è elevato.

Gli aggressori possono registrare un nuovo dispositivo MFA dopo un bombardamento di prompt riuscito?

Sì, questo è un passo successivo comune. Dopo aver ottenuto l'accesso, gli aggressori possono tentare di registrare un nuovo autenticatore per mantenere la persistenza. Le difese comprendono la protezione dei flussi di lavoro di iscrizione, la richiesta di una maggiore garanzia per le modifiche al dispositivo e la notifica agli utenti quando gli autenticatori vengono aggiunti o rimossi.

Potresti essere interessato anche a...

Richiedi una demo

Richiedi una demo