Gli attacchi push: che cosa sono e come prevenirli
Tuttavia, come comunemente avviene con tutti i sistemi informatici, anche questo sistema può essere sfruttato da malintenzionati per attacchi fraudolenti, indirizzati a violare dati personali e rubare informazioni, oltre che commettere vere e proprie truffe.
I cosiddetti “push attacks” o attacchi tramite notifiche push, sono sempre più utilizzati per superare il sistema di autenticazione MFA basato su questo tipo di notifiche.
Secondo i dati del report 2022 State of Passwordless Security[1] in un anno questi attacchi sono aumentati del 33%, diventando un tema piuttosto importante nell’ambito della sicurezza informatica.
Che cosa sono le notifiche push nel processo di autenticazione
All’interno del sistema di autenticazione a più fattori, le notifiche push rappresentano un sistema comodo ed efficace.
Il processo di autenticazione con notifiche push prevede che l’utente riceva una notifica sul proprio smartphone o su un altro dispositivo mobile, che richiede l’approvazione per l’accesso. Per poter proseguire, l’utente è chiamato a confermare l’accesso tramite il dispositivo mobile, previo l’uso di un’ulteriore forma di autenticazione, preferibilmente biometrica, oppure tramite One Time Password tramite messaggio SMS, oppure tramite l’uso di credenziali standard (username e password).
Si tratta pertanto di un metodo a più fattori perché, come visto, implica l’uso di molteplici tipologie di dati: quelli conosciuti dall’utente (credenziali, PIN, frasi segrete), quelli posseduti dall’utente (smartphone, token, numeri di telefono verificati), e quelli inerenti l’utente stesso (impronta, retina, voce, ecc.)
L’efficacia dell’autenticazione multifattoriale è proprio garantita dal fatto che i dati richiesti all’utente devono far parte di almeno due categorie diverse.
Come si verifica l’attacco push
- L’hacker ottiene le credenziali di accesso dell’utente, come nome utente e password. Ciò può avvenire attraverso tecniche di phishing, social engineering o altri metodi fraudolenti attraverso i quali vengono rubate le credenziali di accesso. Di solito, l’utente riceve un’email, che finge di essere inviata dal gestore dell’account, nella quale viene chiesto di inserire i dati.
- A seguito del reperimento delle credenziali, l’hacker tenta poi di accedere all’account dell’utente. Quando il sistema di autenticazione impone la verifica a più fattori, l’hacker invia all’utente una falsa notifica push che richiede l’approvazione dell’accesso.
- L’utente riceve la notifica push sul proprio dispositivo mobile. A questo punto si possono verificare due scenari:
– L’utente accetta distrattamente la richiesta di approvazione senza pensarci troppo.
– L’utente rifiuta la richiesta, ma l’hacker ripete il processo fino a quando l’utente, per “fatica” (MFA Fatigue attack[2]), accetta una richiesta di accesso per interrompere il flusso.
In entrambi i suddetti casi, l’account dell’utente è da considerarsi violato.
L’attacco push può quindi sfruttare la familiarità dell’utente con il processo di autenticazione tramite notifica e la sua abitudine a reagire rapidamente alle richieste di approvazione.
La vulnerabilità delle notifiche push è stata dimostrata anche dagli attacchi di gruppi di hacker come Nobelium, responsabile dell’enorme attacco alla catena di fornitura Solar Winds, e il gruppo di hacking Lapsus$, che ha attaccato numerose organizzazioni.
Il sovraccarico cognitivo cui sono sottoposti gli utenti a causa del grande numero di notifiche che ricevono quotidianamente è senza dubbio un fattore che incide negativamente sulla capacità di distinguere le truffe dalle notifiche appropriate.
Come proteggersi dagli attacchi push
Per proteggere gli utenti dalle notifiche push, è possibile adottare alternative di autenticazione più sicure e con una migliore esperienza utente. Ad esempio, è possibile utilizzare l’autenticazione mobile-initiated, che permette all’utente di autenticarsi dallo smartphone e ottenere immediatamente l’accesso alle risorse aziendali.
L’autenticazione mobile-initiated (autenticazione iniziata dal dispositivo mobile) è un processo che inizia da un dispositivo mobile, come uno smartphone o un tablet, e richiede l’interazione conscia dell’utente per completare la procedura.
In pratica, l’utente richiede l’accesso ad uno strumento informatico e riceve subito un codice di verifica sul proprio dispositivo mobile. A questo punto, deve inserire il codice di verifica nell’applicazione o nel sito web per confermare la propria identità. La presenza di un’azione iniziata consciamente dall’utente rende più difficile l’inganno, assumendo però che il dispositivo mobile dell’utente non sia stato preventivamente infettato e compromesso.
Per ovviare a questa eventualità potrebbe essere vincente, soprattutto in una transazione dispositiva (nello scenario bancario), richiedere un codice di sicurezza OTP da un dispositivo HW esterno sempre sotto il controllo dell’utente finale.
Questa tipica soluzione è adottata da Ireth attraverso la soluzione antifrode con carta AFC800 che, tramite comunicazione NFC, realizza un secondo (o n-esimo) fattore di autenticazione.
Come visto sopra, l’utilizzo di un sistema passwordless rappresenta una delle soluzioni più efficaci. Non è in questo caso necessario utilizzare le credenziali bensì una combinazione di fattori biometrici, come riconoscimento facciale o impronta digitale, e l’utilizzo di uno smartphone come token fisico. In questo modo, la procedura di login diventa più resistente al phishing e alla compromissione delle password.
[1] https://get.hypr.com/2022-state-of-passwordless-security?_ga=2.141570352.301619982.1677756252-938740996.1677756252
[2] https://www.bleepingcomputer.com/news/security/mfa-fatigue-hackers-new-favorite-tactic-in-high-profile-breaches/