Microsoft Authenticator: le nuove funzioni per proteggersi dagli attacchi MFA Fatigue

Microsoft Authenticator mfa

Dopo l’incursione di attacchi di tipo MFA Fatigue che durante lo scorso settembre hanno interessato le notifiche dell’app Authenticator di Microsoft, l’azienda di Redmond ha affrontato la minaccia attraverso un aggiornamento progettato per migliorare l’esperienza utente e attenuare i rischi associati.

Nel costante impegno per assicurare la sicurezza degli utenti, Microsoft ha ufficialmente annunciato l’adozione di nuove misure mirate a potenziare l’autenticazione a più fattori (MFA) e a fornire una maggiore protezione contro le potenziali minacce informatiche. Queste misure sono state implementate in risposta agli attacchi MFA Fatigue che sfruttano le fastidiose notifiche spam.

Cosa sono gli attacchi MFA Fatigue

Gli attacchi MFA Fatigue rappresentano una crescente minaccia alla sicurezza informatica delle aziende e dei dipendenti, alimentati dall’incremento degli attacchi di ingegneria sociale. Questa tattica, legata all’Autenticazione a più fattori, è diventata uno degli strumenti preferiti dagli hacker che vogliono ottenere l’accesso non autorizzato alle reti aziendali, spingendo le imprese a riconsiderare le loro strategie di difesa digitale.

Gli aggressori, sempre più abili nell’acquisire credenziali, adottano diverse strategie, tra cui attacchi di phishing, malware e l’acquisto di credenziali rubate sul dark web. In risposta a questa tendenza, molte aziende hanno implementato l’autenticazione a più fattori, processo che richiede delle verifiche aggiuntive oltre login e password. Tuttavia, un nuovo fenomeno noto come MFA Fatigue sta mettendo alla prova questa pratica di sicurezza supplementare.

La tecnica MFA Fatigue si basa sullo sfruttamento delle notifiche “push” utilizzate nell’autenticazione a più fattori. Quando un utente cerca di accedere, riceve una notifica sul proprio dispositivo mobile per approvare o negare il tentativo di accesso. I cybercriminali eseguono degli script che inviano ripetutamente richieste di verifica MFA al dispositivo della vittima, generando uno “spam” di notifiche. Una prassi che mira a provocare affaticamento e confusione, inducendo l’utente ad accettare le richieste.

Microsoft Authenticator: gli ultimi aggiornamenti

Microsoft ha recentemente sottolineato l’importanza dell’autenticazione a più fattori e l’uso dell’app Authenticator è stato inoltre indicato come molto più sicuro rispetto all’autenticazione telefonica.

Un elemento chiave di questa iniziativa è la lotta contro gli attacchi MFA attraverso l’implementazione della corrispondenza dei numeri, dimostratasi particolarmente efficace nel contrastare i criminali informatici.

Nonostante la presenza di queste misure aggiuntive, gli hacker continuano costantemente a cercare dei metodi ingegnosi per carpire informazioni dagli utenti. In risposta, Microsoft ha adottato ulteriori misure di sicurezza.

Una delle modifiche principali è l’eliminazione delle notifiche popup dell’Authenticator in caso di richieste anomale. Questa implementazione ha drasticamente ridotto il numero di notifiche non pertinenti, evitando oltre 6 milioni di notifiche su Microsoft Authenticator senza password e MFA.

Le notifiche vengono ora soppresse quando una richiesta mostra potenziali rischi, come il provenire da una posizione sconosciuta o presentare altre anomalie. Questo approccio mira a ridurre significativamente gli attacchi eliminando richieste di autenticazione irrilevanti.

In situazioni in cui le richieste di accesso sono considerate rischiose, l’utente riceverà istruzioni dirette: “Apri l’app Authenticator e inserisci il numero mostrato per accedere”. Quando aprirà l’app Authenticator potrà visualizzare la richiesta e intraprendere l’azione appropriata.

Gli utenti potranno comunque accedere alle notifiche all’interno dell’app, che funge da archivio e consente di recuperare eventuali richieste perse.

Queste funzioni aggiuntive hanno portato a un’esperienza più fluida e sicura per gli utenti, migliorando la comodità e aumentando la sicurezza.

Questo nuovo approccio rappresenta un esempio tangibile di come l’evoluzione della tecnologia sia orientata a garantire un ambiente online più sicuro ed efficiente, a patto che l’utente aggiorni costantemente l’app.

Hai bisogno di un aiuto professionale per implementare la sicurezza dei tuoi device? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Attacco hacker alla Regione Lazio: l’importanza della Cybersecurity

attacco hacker regione lazio
attacco hacker regione lazio

L’attacco hacker alla Regione Lazio ha causato un blocco totale senza precedenti: ecco perché è fondamentale avere un’infrastruttura adatta e protetta.

Dopo aver carpito le credenziali di un amministratore di sistema di alto livello della Regione Lazio, l’attacco hacker ha portato delle conseguenze pressoché disastrose. Al punto tale da paralizzare non solo il settore sanitario — e quindi le prenotazioni per i vaccini (ma anche per qualsiasi visita medica) e la stessa campagna vaccinale — ma tutte le attività della Regione.

Come i cybercriminali sono riusciti a bucare la rete

Recentemente si è scoperto che a tenere aperto il computer del dipendente regionale di Frosinone in smart working sarebbe stato il figlio durante la notte.

Stando a quando ricostruito dagli investigatori, i criminali hanno quindi carpito ed utilizzato le sue credenziali per entrare nel sistema della Regione.

Hanno poi usato un software chiamato Emotet, una sorta di cavallo di Troia che ha creato una breccia e gli ha dato il pieno controllo del sistema per eseguire operazioni più profonde. A questo punto tutto era pronto per il passaggio finale, ovvero l’inserimento del ransomware, il programma che ha criptato i dati, anche lo stesso backup. Per poi chiedere un sostanzioso riscatto.

In cosa consiste il ransomware

Questo tipo di procedura ricalca un copione ormai consolidato, favorita però dall’assenza di un sistema di autenticazione a due fattori da parte del dipendente. Si tratta infatti di una doppia misura di sicurezza, che oltre a username e password chiede un secondo modo per confermare la propria identità, come per esempio un sms sul telefono o un’app che rilascia un codice.

Dopo essere riusciti ad entrare nel sistema, i criminali informatici bloccano l’accesso ai file e ai dati degli utenti e chiedono il pagamento di un riscatto in bitcoin per renderli nuovamente accessibili. In caso contrario l’intero sistema rimane inutilizzabile. Nonostante si riesca a eradicare il virus prima del ripristino dell’attività, non si è sicuri che basti a far tornare tutto come prima.

Negli ultimi tre anni i ransomware hanno avuto un’impennata in tutto il mondo: sono silenziosi, efficaci e molto remunerativi. Ci si accorge della crittazione solo quando tutto è ormai perduto e in genere le vittime, principalmente le aziende, pagano. In caso contrario i criminali minacciano di rendere pubblici alcuni dei dati che hanno criptato, tra cui dati sensibili dei clienti, brevetti e progetti in sviluppo.

Non eliminare lo smart working, ma implementare la sicurezza

Il Messaggero, nell’edizione romana, parlando dell’attacco hacker alla regione Lazio ha riportato un’inverosimile soluzione per risolvere il problema in futuro: l’indiscrezione è quella che la regione starebbe richiamando in sede tutti i dipendenti e gli addetti ai sistemi informatici per procedere a ulteriori verifiche sui dispositivi in loro possesso. Sostenendo che in qualche modo lo smart working abbia contribuito alla buona riuscita dell’attacco.

In realtà lo smart working e gli attacchi hacker non sono due realtà necessariamente collegate tra loro. Questi ultimi, infatti, avvengono continuamente anche sui dispositivi interni alle aziende.

La vera sfida sta nel respingerli ed avere una infrastruttura adatta e protetta che faccia sì che nessuno possa intrufolarsi nei sistemi aziendali.

Quando si lavora in remoto, le attenzioni sono le stesse che bisogna avere quando si lavora in ufficio:

  • impostare password complesse su router e rete wi-fi
  • creare regolarmente una copia di backup dei dati importanti
  • lavorare su dispositivi forniti dall’azienda
  • aggiornare i sistemi e il software
  • prevedere un’adeguata formazione dei dipendenti

Una delle tecniche più usate per infettare i computer con i ransomware è infatti l’ingegneria sociale. È importante perciò informarsi (e, nel caso delle aziende, informare tutti i dipendenti) su come si possano rilevare i malspam, i siti web sospetti e gli altri potenziali tranelli. E soprattutto, usare il buon senso.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Attacchi hacker con furto dati: perché sta capitando a tante aziende e come difendersi

attacchi-hacker

Anche Campari Group è stata recentemente colpita da un attacco ransomware con la tecnica del doppio riscatto: due terabyte di dati trafugati e la minaccia di pubblicarli se l’azienda non pagherà 15 milioni di dollari.

Con il riscatto i criminali – il gruppo Ragnar Locker – darebbero anche un decryptor e consigli di sicurezza. Lo stesso gruppo, con tecnica simile, ha colpito Capcom la scorsa settimana, con minaccia di pubblicazione o vendita all’asta dei dati, tra cui documenti fiscali, proprietà intellettuali, dati personali di clienti e dipendenti, inclusi quelli di identità e documenti con accordi e contratti aziendali.

L’attacco è stato tempestivamente notificato alle autorità competenti per la protezione dei dati, alla Polizia Postale italiana e all’FBI.

Ad avere comunicato l’avvenuto è Bleeping Computer.

Ecco perché c’è un boom di attacchi hacker e quali regole deve seguire un’azienda per difendersi.

Attacco del doppio riscatto, i danni per le aziende colpite

Riassumendo, un’azienda colpita da attacchi hacker come crittazione, furto e minaccia di pubblicazione subisce molteplici danni.

  • Perdita di dati e indisponibilità temporanea di servizi a causa della crittografia. Prima, quando i criminali si limitavano a crittografare i dati sulle macchine delle vittime, c’erano solo questi danni.
  • La pubblicazione comporta perdita di: proprietà intellettuali (nelle mani di possibili concorrenti), immagine e reputazione (quindi perdita di clienti e valore in borsa); rischi di sanzioni privacy milionarie ai sensi del Gdpr.

Dato che i danni possibili aumentano, stanno crescendo anche i riscatti, che sono a loro volta milionari. Ma come risulta da un rapporto Coveware, non è detto che i criminali cancellino i dati dopo il pagamento e quindi il ricatto può continuare.

Se i dati riguardano inoltre le infrastrutture critiche di un Paese, dall’attacco derivano anche considerazioni di sicurezza nazionale.

Non solo Campari, boom di attacchi hacker simili nel 2020

Nel 2020, con un crescendo da settembre, abbiamo avuto simili attacchi hacker a Enel, a Geox, uno al gruppo Carraro, a Luxottica e ora appunto Campari, tanto per citare solo grandi aziende italiane.

Questo è avvenuto principalmente a causa del covid-19, che ha un grosso ruolo nella crescita degli attacchi di questo tipo, perché lo smart working amplia la superficie di attacco e rende più difficile controllare la sicurezza del perimetro.

Il fenomeno riguarda tutto il mondo, come registrato nello speciale pandemia che il Clusit presentare a novembre con il loro nuovo rapporto. Per l’Italia, Exprivia calcola invece che nel secondo trimestre del 2020 i crimini informatici sono aumentati di oltre il 250% rispetto ai primi tre mesi dell’anno (171 rispetto a 47).

Perché il doppio attacco è di moda

Ma perché adesso i criminali solo soliti non limitarsi più a crittografare i dati ma a rubarli? Ovvio che conviene di più a loro ma allora ci si può chiedere perché non ci hanno pensato prima. Prima non avevano bisogno di sottrarre i dati; era più semplice crittografarli con un malware direttamente sulle macchine senza fare download e storage in cloud degli stessi. Ma poi le aziende hanno imparato a fare back up, per recuperare i dati senza pagare, e così, per dare un nuovo incentivo al pagamento i criminali stanno anche minacciando la pubblicazione.

In generale gli attaccanti stanno facendo evolvere e specializzare le proprie tecniche.

Che fare contro i nuovi ransomware degli attacchi hacker

Se è evidente che questa forma di attacco è potenzialmente più dannosa del tradizionale ransomware, meno evidente è la ricaduta in termini di azioni che le aziende devono porre in essere per prevenire questi attacchi.

Nel caso di ransomware tradizionale, infatti, gli esperti hanno sempre consigliato il ricorso a buone pratiche di backup e sistemi di disaster recovery aggiornati allo stato dell’arte, così da rendere inefficace la violazione ed evitare di scendere a patti con i criminali. Questa modalità di azione è indirizzata a misure di natura reattiva, volte a mitigare un incidente già avvenuto, riducendo drasticamente (ma non eliminando del tutto) i possibili impatti.

In caso di estrazione di dati, il baricentro dell’azione di cybersecurity dell’azienda deve spostarsi di nuovo sul rafforzamento della capacità di prevenzione ed in particolare in due direzioni:

  • capacità di prevenzione delle infezioni da malware, che deve basarsi sempre più su strumenti in grado di identificare i “comportamenti anomali” del software che opera sui nostri sistemi (i.e. lanciare ad esempio un allarma se un software cifra dei dati, o accede a moltissimi documenti, o invia grandi quantità di dati all’esterno dell’organizzazione). Si tratta quindi di strumenti di analisi da installare su endpoint, server e nei nodi critici della rete, basato non più solo sul rinascimento di pattern di infezioni note, ma su tecniche di machine learning;
  • protezione intrinseca dei dati: negli ultimi mesi abbiamo compreso come la semplice password non sia più sufficiente a proteggere l’identità digitale delle persone, e che l’autenticazione a due fattori è, di fatto, la nuova “misura minima”. Allo stesso modo, dobbiamo considerare che i dati, se in chiaro sui sistemi, sono da ritenere vulnerabili. La cifratura deve diventare il modo “normale” di gestire le informazioni digitali, e quando parliamo di cifratura si intende non tanto quella dei dischi, ma la cifratura applicativa, quella che rende il dato inutilizzabile anche in caso di furto dei dati dal database, o dai file dal nostro computer o terminale mobile. Abbiamo anche un motivo in più per farlo: se i dati sono cifrati, e le persone a cui tali dati si riferiscono non corrono pertanto dei rischi dall’attacco informatico, l’organizzazione non è tenuta a segnalare agli interessati l’incidente informatico (in tal caso il data breach ai sensi del GDPR), assicurando quindi una maggiore tutela della reputazione rispetto al mercato di riferimento.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.