Stai cercando inwebo.com? Sei nel posto giusto! Leggi tutte le informazioni nel nostro ultimo post sul blog

No, non tutte le soluzioni MFA sono vulnerabili al prompt bombing.

Avete mai sentito parlare di MFA prompt bombing? È l'argomento più scottante del momento nel campo della sicurezza informatica. Questa tecnica è stata recentemente utilizzata contro Uber dal noto gruppo di hacker "Lapsus$".

E Uber è tutt'altro che un caso isolato. Oggi i criminali informatici innovano costantemente sfruttando le più piccole falle del mondo digitale. Sono in grado di aggirare alcuni sistemi di autenticazione forte (2FA) che forniscono un ulteriore livello di sicurezza agli account degli utenti, ma un livello largamente insufficiente data la complessità degli attacchi attuali.

L'Identity Defined Security Alliance (IDSA) ha recentemente pubblicato un rapporto sulle tendenze del 2022 nella sicurezza delle identità digitali. Tra i 500 professionisti IT intervistati, l'84% ha dichiarato che la propria organizzazione ha subito un furto di identità nell'ultimo anno¹. Un aumento di 5 punti rispetto al rapporto dell'anno precedente.

Per affrontare queste minacce, è più che essenziale educare i dipendenti e i clienti alle migliori pratiche e rafforzare le infrastrutture di sicurezza esistenti.

Come funziona il prompt bombing?

Gli attacchi di tipo Prompt Bombing (o push bombing) utilizzano l'autenticazione a più fattori per inondare gli utenti di notifiche push e violare i loro account. Volutamente o meno, alcuni finiscono per accettare le richieste avviate dagli hacker.

Per accedere ai dati dei loro obiettivi, gli hacker ottengono illegalmente credenziali valide. Durante il tentativo di accesso, contano sul fatto che un utente inondato di notifiche ad un certo punto approverà l'autenticazione. Il termine "MFA Fatigue" si riferisce alla stanchezza degli utenti causata da queste innumerevoli notifiche.

Sembra banale, ma ha funzionato con Uber. L'hacker ha utilizzato i dati di accesso di un dipendente e gli ha inviato notifiche push in modo aggressivo. Prima di approvare l'operazione, l'utente è stato addirittura contattato su WhatsApp da un sedicente membro del team IT della sua azienda, chiedendogli di accettare la notifica per farla cessare. Si tratta di una forma di ingegneria sociale.

Un tentativo di prompt bombing riuscito può dare agli hacker la possibilità di aggiungere il proprio dispositivo all'account craccato e di rimuovere l'accesso dell'utente originale. A seconda delle autorizzazioni di cui dispone la vittima all'interno dell'organizzazione, gli aggressori possono accedere e sfruttare dati e risorse più o meno riservati.

Combattere il bombardamento immediato con inWebo MFA

Gli attacchi moderni richiedono metodi moderni. Ecco le diverse soluzioni proposte da inWebo per contrastare il prompt bombing:

Impostare il servizio per una maggiore sicurezza

inWebo offre un ulteriore livello di sicurezza grazie alle opzioni di impostazione. Ad esempio, è possibile rendere obbligatorio il codice PIN e non consentire la biometria sui telefoni cellulari, favorendo così l'accettazione involontaria o basata sull'abitudine.

Andate alla sezione "Parametri del servizio" del vostro strumento di amministrazione. Qui avrete la possibilità di scegliere se autenticarvi con o senza PIN e di disattivare il campo "Autenticazione con biometria consentita". Si noti che quando il PIN è disabilitato, l'autenticazione biometrica non è disponibile.

Iscrivere il browser degli utenti

La soluzione inWebo Browser token consente di registrare i browser web e mobili. Certifica che il tentativo di connessione proviene da un browser affidabile, ossia da un dispositivo elencato dall'azienda. È possibile rendere obbligatoria questa gestione per aumentare notevolmente la sicurezza delle connessioni. Questo sistema fornisce una risposta sia al prompt bombing che ai potenziali attacchi del servizio di phishing Evil Proxy.

 

Scoprite come aggiungere un utente alla vostra piattaforma e come permettergli di autenticarsi in modo sicuro. Attivate il vostro account seguendo le procedure descritte nell'e-mail di invito. Iscrivete il vostro browser di fiducia attivando e impostando il PIN e la frase anti-phishing. Aggiungete il vostro cellulare o completate i passaggi direttamente sul vostro browser.

Riproduzione video

Disattivare le notifiche push

Il sistema di autenticazione a più fattori di inWebo consente all'utente di disabilitare le notifiche push. Per effettuare il login, dovrà convalidare direttamente da solo i tentativi di accesso nell'applicazione. Senza sollecitazioni intempestive, l'utente è protetto da attacchi di tipo prompt bombing.

Generare una password unica (OTP)

I metodi sopra descritti possono essere ulteriormente migliorati con la one-time password di inWebo (OTP). Questa soluzione prevede che l'utente generi una password unica sul proprio cellulare. Questa OTP deve poi essere inserita nel browser di fiducia. Senza alcuna sollecitazione esterna, attraverso una catena di dispositivi certificati, la connessione ai dati più sensibili è protetta al massimo livello.

Per eseguire questa operazione, è sufficiente accedere al portale di autenticazione dell'organizzazione e selezionare "Mostra altre opzioni". Verranno richiesti i dati di accesso e OTP. Accedere all'applicazione mobile e selezionare "Generate an OTP". Verrà quindi fornita una password unica, che scadrà automaticamente dopo 30 secondi. Inserire questa password nel browser per completare l'autenticazione.

C'è ancora molta strada da fare prima di rendere i sistemi MFA completamente resistenti ai bombardamenti immediati. Detto questo, come dimostra la soluzione inWebo MFA esistono già molti modi per combattere la diversità tecnica e sociale dei cyberattacchi, a patto che si faccia attenzione agli strumenti e alle politiche di sicurezza scelti. Non tutte le soluzioni MFA sono uguali e la 2FA non è così forte come MFA.

Sensibilizzare ed educare gli utenti alle migliori pratiche

L'implementazione di questi meccanismi di sicurezza da sola non è sufficiente. È ora necessario rendere gli utenti consapevoli degli attacchi di tipo prompt bombing e insegnare loro come adottare il giusto comportamento. Queste azioni preventive rendono più facile identificare le richieste di autenticazione sospette e reagire di conseguenza.

Ad esempio, alcuni clienti inWebo hanno lanciato campagne basate sulla capacità della nostra API di inviare notifiche push. Con un semplice script, gli amministratori simulano attacchi di prompt bombing su tutti o parte degli utenti della soluzione. In questo modo, possono rilevare quali sono gli utenti che segnalano correttamente l'attacco o, al contrario, quelli che vi cedono. È quindi possibile indirizzare e adattare i messaggi di sensibilizzazione alla maturità tecnologica dei diversi destinatari.

Rafforzate la vostra infrastruttura di sicurezza con inWebo Browser Token

Quest'anno, l'82% delle violazioni di dati ha coinvolto un fattore umano². Questi sono i risultati del 2022 Data Breach Investigations Report di Verizon. Questo studio, basato su 23.000 incidenti e 5.200 violazioni confermate in tutto il mondo, sottolinea l'importanza dei programmi di sensibilizzazione. Il caso Uber è in linea con i risultati di questa indagine.

Se da un lato le infrastrutture di sicurezza esistenti offrono un reale livello di protezione, dall'altro possono creare attriti e alterare l'esperienza dell'utente. I moderni metodi di autenticazione a più fattori raccomandano ora l'uso di chiavi di sicurezza FIDO2. L'abbinamento di queste chiavi hardware con la tecnologia inWebo Browser Token aiuta a combattere sia il phishing che il prompt bombing.

Gli attacchi di tipo Prompt Bombing (o push bombing) sfruttano le falle nei sistemi di MFA per bombardare gli utenti con notifiche push e violare i loro account. Alcuni hacker, come nel caso di Uber, contattano le loro vittime anche su WhatsApp per indurle ad accettare queste richieste di autenticazione.

MFA L'affaticamento si riferisce alla stanchezza degli utenti per le innumerevoli notifiche push che ricevono durante un tentativo di bombardamento di MFA .

L'autenticazione a più fattori (MFA), o autenticazione forte, è un meccanismo di sicurezza che richiede due o più fattori di convalida per dimostrare l'identità di un utente. Nella maggior parte dei casi, si tratta di connettersi a una rete, a un'applicazione o a un'altra risorsa senza doversi affidare a una semplice combinazione di nome utente e password.