Menu
Negli ultimi anni, le notifiche push sono diventate un metodo popolare frequentemente impiegato a supporto dell'autenticazione a più fattori (MFA) per proteggere gli utenti nel momento in cui devono accedere autilizzare in sicurezza il proprio account personale.
Tuttavia, come comunemente avviene con tutti i sistemi informatici, anche questo sistema può essere sfruttato da malintenzionati per attacchi fraudolenti, indirizzati a violare dati personali e rubare informazioni, oltre che commettere vere e proprie truffe.
I cosiddetti “push attacks” o attacchi tramite notifiche push, sono sempre più utilizzati per superare il sistema di autenticazione MFA basato su questo tipo di notifiche.
Secondo i dati del report 2022 State of Passwordless Security[1] in un anno questi attacchi sono aumentati del 33%, diventando un tema piuttosto importante nell’ambito della sicurezza informatica.
All’interno del sistema di autenticazione a più fattori, le notifiche push rappresentano un sistema comodo ed efficace.
Il processo di autenticazione con notifiche push prevede che l’utente riceva una notifica sul proprio smartphone o su un altro dispositivo mobile, che richiede l’approvazione per l’accesso. Per poter proseguire, l’utente è chiamato a confermare l’accesso tramite il dispositivo mobile, previo l’uso di un’ulteriore forma di autenticazione, preferibilmente biometrica, oppure tramite One Time Password tramite messaggio SMS, oppure tramite l’uso di credenziali standard (username e password).
Si tratta pertanto di un metodo a più fattori perché, come visto, implica l’uso di molteplici tipologie di dati: quelli conosciuti dall’utente (credenziali, PIN, frasi segrete), quelli posseduti dall’utente (smartphone, token, numeri di telefono verificati), e quelli inerenti l’utente stesso (impronta, retina, voce, ecc.)
L’efficacia dell’autenticazione multifattoriale è proprio garantita dal fatto che i dati richiesti all’utente devono far parte di almeno due categorie diverse.
In entrambi i suddetti casi, l’account dell’utente è da considerarsi violato.
L’attacco push può quindi sfruttare la familiarità dell’utente con il processo di autenticazione tramite notifica e la sua abitudine a reagire rapidamente alle richieste di approvazione.
La vulnerabilità delle notifiche push è stata dimostrata anche dagli attacchi di gruppi di hacker come Nobelium, responsabile dell’enorme attacco alla catena di fornitura Solar Winds, e il gruppo di hacking Lapsus$, che ha attaccato numerose organizzazioni.
Il sovraccarico cognitivo cui sono sottoposti gli utenti a causa del grande numero di notifiche che ricevono quotidianamente è senza dubbio un fattore che incide negativamente sulla capacità di distinguere le truffe dalle notifiche appropriate.
Per proteggere gli utenti dalle notifiche push, è possibile adottare alternative di autenticazione più sicure e con una migliore esperienza utente. Ad esempio, è possibile utilizzare l’autenticazione mobile-initiated, che permette all’utente di autenticarsi dallo smartphone e ottenere immediatamente l’accesso alle risorse aziendali.
L’autenticazione mobile-initiated (autenticazione iniziata dal dispositivo mobile) è un processo che inizia da un dispositivo mobile, come uno smartphone o un tablet, e richiede l’interazione conscia dell’utente per completare la procedura.
In pratica, l’utente richiede l’accesso ad uno strumento informatico e riceve subito un codice di verifica sul proprio dispositivo mobile. A questo punto, deve inserire il codice di verifica nell’applicazione o nel sito web per confermare la propria identità. La presenza di un’azione iniziata consciamente dall’utente rende più difficile l’inganno, assumendo però che il dispositivo mobile dell’utente non sia stato preventivamente infettato e compromesso.
Per ovviare a questa eventualità potrebbe essere vincente, soprattutto in una transazione dispositiva (nello scenario bancario), richiedere un codice di sicurezza OTP da un dispositivo HW esterno sempre sotto il controllo dell’utente finale.
Questa tipica soluzione è adottata da Ireth attraverso la soluzione antifrode con carta AFC800 che, tramite comunicazione NFC, realizza un secondo (o n-esimo) fattore di autenticazione.
Come visto sopra, l’utilizzo di un sistema passwordless rappresenta una delle soluzioni più efficaci. Non è in questo caso necessario utilizzare le credenziali bensì una combinazione di fattori biometrici, come riconoscimento facciale o impronta digitale, e l’utilizzo di uno smartphone come token fisico. In questo modo, la procedura di login diventa più resistente al phishing e alla compromissione delle password.
[1] https://get.hypr.com/2022-state-of-passwordless-security?_ga=2.141570352.301619982.1677756252-938740996.1677756252
[2] https://www.bleepingcomputer.com/news/security/mfa-fatigue-hackers-new-favorite-tactic-in-high-profile-breaches/