I rischi nascosti dell'autenticazione a più fattori basata su SMS

24 gennaio 2024

I rischi nascosti dell'autenticazione a più fattori basata su SMS

Un anno fa mi sono trasferita dalla Svizzera al mio Paese natale: Francia. Un trasferimento di questo tipo comporta numerose incombenze amministrative, una delle quali è l'ottenimento di un nuovo numero di telefono locale.

Ho subito acquistato un nuovo numero e ho iniziato il processo di aggiornamento dei miei account per una maggiore sicurezza attraverso l'autenticazione a più fattori (MFA). Tuttavia, si è presentata una sfida inaspettata con il mio account Amazon. È emerso che il mio nuovo numero di telefono era già collegato all'account di un altro utente, presumibilmente dal precedente proprietario che non lo aveva rimosso.

Ho contattato il team di assistenza di Amazon, cercando di associare il mio nuovo numero al mio account. Il team di assistenza ha risposto rapidamente, ma non ha potuto aiutarmi. Mi hanno spiegato che non potevano modificare i dettagli dell'account di un'altra persona senza un'autorizzazione esplicita. Non potevo usare il mio numero di telefono come ulteriore livello di sicurezza.

Acquisizione di un account: Uno scenario del mondo reale

Il meccanismo di sicurezza degli account di Amazon ha un aspetto unico che potrebbe potenzialmente essere un'arma a doppio taglio in termini di accessibilità agli account. Se si possiede il numero di telefono di una persona, si ha un percorso sorprendentemente semplice per accedere al suo account Amazon. Scegliendo di accedere con un numero di cellulare e poi selezionando di accedere tramite un codice di verifica inviato a quel numero, evitando di inserire una password, si può accedere a un account collegato a quel numero.

Interfaccia di accesso Amazon e OTP ricevuto via sms.

Con questa forma di accesso, l'individuo in possesso del telefono ha un notevole livello di controllo sull'account. Gli viene presentata la possibilità di reimpostare la password dell'account, aggiornare il numero di telefono utilizzato per l'MFA, modificare l'indirizzo e-mail registrato e potenzialmente effettuare acquisti utilizzando i dati della carta di credito salvati sull'account. In particolare, questo processo manca di un livello critico di sicurezza: la convalida bancaria non è richiesta per le transazioni su Amazon, lasciando un vuoto che potrebbe essere sfruttato per acquisti non autorizzati.

Account amazon violato a causa di un MFA basato su SMS non aggiornato

Nel mio caso, pur essendomi trovata inavvertitamente ad accedere all'account Amazon di un'altra persona a causa del numero di telefono condiviso, mi sono astenuta dall'effettuare modifiche o acquisti. La mia intenzione non era quella di abusare dell'accesso in cui ero incappato. Al contrario, ho preso la decisione responsabile di dissociare il numero di telefono dall'account a cui era precedentemente collegato. Questa azione è stata fondamentale per proteggere il mio account Amazon con il mio numero di telefono attuale, aumentandone la sicurezza e assicurandomi di essere l'unico utente associato al mio account personale.

Come rimuovere gli sms mfa da un account Amazon

Questo incidente evidenzia l'importanza di aggiornare e proteggere regolarmente le informazioni relative al conto per evitare accessi non autorizzati. Inoltre, sensibilizza sui rischi potenziali dei metodi di autenticazione basati sul telefono e sottolinea la necessità per gli utenti di rimanere vigili sulle loro pratiche di sicurezza digitale.

Vulnerabilità MFA / OTP

L'MFA basata su SMS, comprese le One-Time Password (OTP) e i link magici, pur essendo molto diffusi, presentano limitazioni di sicurezza critiche. Queste debolezze non si limitano agli scenari MFA tradizionali, ma si estendono a vari metodi di autenticazione basati su SMS.

Il mancato aggiornamento del numero di telefono per la sicurezza del conto può portare a un altro risultato preoccupante: la perdita completa dell'accesso al proprio conto.

Ad esempio, trascurare di aggiornare l'account Google con il nuovo numero di telefono può comportare notevoli problemi di accesso e potenzialmente bloccare l'account. Questa dimenticanza può creare una situazione frustrante e impegnativa, anche se si ricorda la password.

Convalida di sicurezza di Google con codice di verifica

Quando si cambia il numero di telefono ma non si aggiornano le informazioni nelle impostazioni dell'account Google, si crea inavvertitamente una barriera all'ingresso. Il problema sorge durante il processo di verifica, che è una fase fondamentale per garantire la sicurezza e l'integrità dell'account. Google, nel tentativo di mantenere elevati standard di sicurezza, richiede spesso un codice di verifica come parte del processo di autenticazione a due fattori. Questo codice viene solitamente inviato al numero di telefono registrato.

Tuttavia, se il vostro conto è ancora collegato al vecchio numero, non riceverete questi codici di verifica essenziali. Di conseguenza, nonostante l'inserimento della password corretta, non sarà possibile completare il processo di accesso. La mancanza di accesso al codice di verifica impedisce di fatto di confermare la propria identità e di accedere al conto.

Messaggio di errore di Google "Impossibile accedere".

Inoltre, le implicazioni di questo problema vanno oltre l'impossibilità di controllare le e-mail o aggiornare il calendario. Può interrompere l'accesso a tutti i servizi associati all'account Google, comprese piattaforme essenziali come Google Drive, Foto e persino siti di terze parti in cui si utilizza Google per accedere.

Ulteriori limitazioni dell'MFA basato su SMS

Questa rivelazione sul processo di login di Amazon non solo solleva le sopracciglia, ma funge anche da spunto per una discussione più ampia sui rischi insiti nell'affidarsi all'autenticazione a più fattori basata su SMS su varie piattaforme.

Ecco ulteriori limitazioni dell'MFA basato su SMS:

1. Crittografia degli SMS e minacce Malware

I messaggi SMS non sono criptati e sono quindi facili bersagli di intercettazioni e letture non autorizzate. Le informazioni sensibili, come i codici di autenticazione, possono cadere nelle mani sbagliate, causando la violazione degli account. Tuttavia, la complessità tecnica richiesta per intercettare i messaggi SMS rende questo metodo di attacco meno probabile e la maggior parte degli aggressori preferisce utilizzare il malware su un dispositivo per trafugare i dati degli SMS.

2. Dipendenza dalle reti mobili

La dipendenza dalle reti mobili, che possono subire interruzioni, rende l'MFA basato su SMS inaffidabile nei momenti critici in cui è necessario accedere al conto.

3. Exploit SS7 e Sakari

Contrariamente alle preoccupazioni precedenti, il protocollo Signal System 7 (SS7) non è più così vulnerabile allo sfruttamento. Tuttavia, la facilità di inoltrare SMS a servizi come Sakari, ottenibile con ingegneria sociale di base e costi minimi, rappresenta un nuovo vettore di minacce.

4. Ingegneria sociale

Gli aggressori possono utilizzare tecniche di social engineering per ingannare le persone o i fornitori di servizi mobili e indurli a divulgare informazioni riservate o a trasferire un numero di telefono su una nuova carta SIM, aggirando le misure MFA.

5. Acquisti di massa di numeri per l'acquisizione di un conto

Una minaccia emergente prevede che gli aggressori acquistino in massa i numeri di telefono per tentare un'acquisizione di account su larga scala, sfruttando le vulnerabilità dell'MFA basato su SMS.

> Leggete come il noto gruppo di criminalità informatica LAPSUS$ aggira la sicurezza della prevenzione per colpire gli ambienti cloud

Migliori pratiche MFA

Gli autenticatori basati su app, come Microsoft Authenticator o Google Authenticator, sono consigliati per un MFA più forte. Tuttavia, il problema dei login OTP e magic link rimane irrisolto e rappresenta una sfida continua per la sicurezza. In generale, assicuratevi di seguire le seguenti best practice:

Per ridurre i rischi, utilizzate un numero di telefono unico e non pubblicato per l'MFA basato su SMS.
Riservare l'MFA basato su SMS agli account meno sensibili, dando priorità ai metodi più forti per gli account ad alto rischio.
Monitorare regolarmente le attività del conto per individuare eventuali segni di accesso non autorizzato o attività sospette.

Implicazioni aziendali e soluzioni avanzate

Le vulnerabilità evidenziate dell'MFA basato su SMS, in particolare illustrate da incidenti come la violazione dell'account Amazon, sottolineano l'urgente necessità di rafforzare le strategie di sicurezza digitale. Ciò è particolarmente critico per le aziende, dove la posta in gioco è significativamente più alta a causa del volume di dati sensibili e beni finanziari a rischio. In ambito aziendale, l'implementazione di solidi metodi MFA va oltre la protezione dei singoli utenti; si tratta di salvaguardare l'infrastruttura digitale dell'azienda, la proprietà intellettuale e di mantenere la fiducia degli stakeholder.

Le aziende devono dare priorità all'implementazione di soluzioni MFA avanzate, come la verifica biometrica e le chiavi di sicurezza, che offrono una difesa più forte contro le minacce informatiche. Inoltre, le aziende devono promuovere una cultura della consapevolezza della sicurezza, assicurandosi che i dipendenti a tutti i livelli comprendano i rischi e aderiscano alle migliori pratiche di sicurezza. Questa vigilanza collettiva è fondamentale in un'epoca in cui le minacce informatiche non solo sono sempre più sofisticate, ma anche in grado di interrompere le attività aziendali e di infliggere danni a lungo termine alla reputazione di un'organizzazione.

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci

DOMANDE FREQUENTI

Che cos'è l'autenticazione a più fattori (MFA) basata su SMS e perché viene utilizzata?

L'MFA basato su SMS è un processo di sicurezza che utilizza i messaggi di testo per fornire un codice o un link una tantum come ulteriore livello di verifica quando si accede a un account. Viene utilizzato per migliorare la sicurezza richiedendo una seconda forma di autenticazione oltre alla semplice password.

In che modo un vecchio numero di telefono collegato a un account può causare problemi di sicurezza?

Se un numero di telefono viene riassegnato a un nuovo utente ma è ancora collegato agli account del precedente proprietario, il nuovo utente può potenzialmente accedere a tali account. Questo può portare ad un accesso non autorizzato e ad un potenziale uso improprio delle informazioni personali e dei dettagli finanziari.

Quali sono le implicazioni più ampie delle vulnerabilità MFA basate sugli SMS per le aziende?

Le imprese sono maggiormente a rischio a causa dei grandi volumi di dati sensibili e di attività finanziarie. Le vulnerabilità MFA basate su SMS possono portare a violazioni significative, perdite finanziarie e danni alla reputazione. Le imprese devono adottare soluzioni MFA più efficaci per proteggere la loro infrastruttura digitale.

Come possono gli utenti mitigare i rischi associati all'MFA basato su SMS?

Gli utenti possono:

Utilizzare un numero di telefono unico e non pubblicato per l'MFA basato su SMS.
Riservare l'MFA basato su SMS agli account meno sensibili.
Aggiornare regolarmente le informazioni sul conto, in particolare i numeri di telefono.
Monitorare le attività dell'account per individuare eventuali segni di accesso non autorizzato.

Qual è il significato degli aggiornamenti regolari delle informazioni sull'account nella sicurezza digitale?

L'aggiornamento regolare delle informazioni sugli account, compresi i numeri di telefono, aiuta a prevenire gli accessi non autorizzati. Se un vecchio numero di telefono è ancora collegato ai conti, può causare problemi di accesso e potenziali violazioni quando il numero viene riassegnato a un nuovo utente.

Quali sono i principali rischi associati all'MFA basato su SMS?

I principali rischi includono:

Intercettazione di messaggi SMS: I messaggi SMS non sono criptati e possono essere intercettati dagli aggressori.
Dipendenza dalla rete mobile: Le interruzioni possono impedire la ricezione dei codici di autenticazione.
Vulnerabilità SS7: Anche se oggi è meno comune, gli aggressori possono sfruttare il protocollo SS7 per intercettare i messaggi.
Ingegneria sociale: Gli aggressori possono ingannare le persone o i fornitori per trasferire i numeri di telefono.
Acquisto di numeri in massa: Gli aggressori possono acquistare numeri di telefono in massa per l'acquisizione di account.

Cosa dovete fare se il vostro numero di telefono viene riassegnato ed è ancora collegato ai vostri account?

Aggiornate immediatamente il vostro numero di telefono in tutti i vostri account online. Contattate i fornitori di servizi per dissociare il vecchio numero dai vostri account. Monitorate regolarmente i vostri account per individuare eventuali attività insolite e, se possibile, attivate metodi MFA più efficaci.

Quali sono le alternative consigliate all'MFA basato su SMS?

Le alternative più forti sono:

Autenticatori basati su app: Come Google Authenticator e Microsoft Authenticator.
Verifica biometrica: Utilizzo delle impronte digitali o del riconoscimento facciale.
Chiavi di sicurezza: Dispositivi fisici che forniscono un ulteriore livello di sicurezza.

Come possono gli utenti mitigare i rischi associati all'MFA basato su SMS?

I SOC sono fondamentali per monitorare, rilevare e rispondere alle minacce alla sicurezza. L'implementazione di una solida piattaforma di rilevamento e risposta alle minacce all'interno dei SOC può aiutare a identificare e mitigare le vulnerabilità legate all'MFA, migliorando la sicurezza complessiva.

Come possono le aziende promuovere una cultura di consapevolezza della sicurezza tra i dipendenti?

Le aziende possono:

Condurre regolarmente programmi di formazione e sensibilizzazione sulla sicurezza.
Incoraggiare le migliori pratiche per la sicurezza digitale.
Promuovere l'uso di metodi di MFA efficaci e il monitoraggio regolare delle attività del conto.
Assicurarsi che i dipendenti comprendano i rischi e siano vigili sulle potenziali minacce.

L'implementazione di queste misure e il mantenimento di un approccio proattivo alla sicurezza digitale possono ridurre significativamente i rischi associati all'MFA basato su SMS.