Le vulnerabilità dell'autenticazione a due fattori via SMS

24 gennaio 2024

Responsabile della ricerca sulle minacce informatiche

Le vulnerabilità dell'autenticazione a due fattori via SMS

Un tempo l'autenticazione a due fattori (2FA) basata su SMS era considerata una salvaguardia affidabile, ma da tempo gli aggressori hanno trovato il modo di sfruttarne le debolezze. Dall'acquisizione di account tramite numeri di telefono riciclati alle campagne di scambio di SIM da parte di gruppi come Scattered Spider, l'MFA basata su SMS espone le organizzazioni a violazioni evitabili. Ciò che può iniziare come un inconveniente personale, come la perdita dell'accesso a un account Google o Amazon, può rapidamente degenerare in una compromissione aziendale, in una frode finanziaria e nell'esfiltrazione dei dati.

Questo blog mette in evidenza esempi reali e playbook di attacchi avanzati per mostrare perché l'SMS 2FA non è più difendibile come controllo di sicurezza e cosa devono fare i dirigenti per proteggere le loro organizzazioni.

Esempio del mondo reale: Perché l'SMS 2FA non è sicuro

Un paio di anni fa, ho dovuto impostare un nuovo numero di telefono e ho imparato subito quanto possa essere fragile l'autenticazione a più fattori basata su SMS (2FA). La prima sorpresa l'ho avuta con il mio account Amazon. Il numero che avevo appena acquisito era ancora legato all'account di un'altra persona.

Quando ho cercato di proteggere il mio account, ho scoperto quanto sarebbe stato facile per qualcun altro accedervi. Amazon consente agli utenti di accedere con un numero di cellulare e di bypassare completamente la password richiedendo un codice di accesso unico (OTP) inviato via SMS. In pratica, questo significa che chiunque abbia un numero di telefono collegato a un account può ricevere il codice e accedere senza conoscere la password originale.

‍

Interfaccia di accesso Amazon e OTP ricevuto via sms. — *Schermata della pagina di accesso di Amazon e dell'OTP ricevuto via SMS.*

Una volta entrato, l'individuo può reimpostare la password dell'account, modificare l'e-mail associata e persino effettuare acquisti utilizzando i dati della carta di credito memorizzati. In particolare, Amazon non richiede una convalida bancaria aggiuntiva per queste transazioni, quindi un aggressore determinato potrebbe sfruttare questa falla per attività fraudolente.

Account amazon violato a causa di un MFA basato su SMS non aggiornato — *Schermate dell'interfaccia di Amazon che mostrano l'account dell'ex proprietario del numero di cellulare*

Nel mio caso, ho avuto accesso involontariamente all'account del precedente proprietario, ma ho immediatamente fatto un passo indietro e ho dissociato il numero per poter proteggere il mio. Questo incidente illustra come l'autenticazione basata su SMS apra la porta a rischi di acquisizione dell'account. Per un'azienda, le conseguenze vanno ben oltre l'inconveniente personale. Se questo scenario si verificasse con un account aziendale, le conseguenze potrebbero essere transazioni finanziarie non autorizzate, perdita di dati e un colpo diretto alla fiducia dei clienti.

Come rimuovere gli sms mfa da un account Amazon — *Screenshot dell'interfaccia di Amazon che mostra la rimozione del numero di cellulare*

Questo semplice esempio mostra perché la 2FA basata su SMS, pur essendo comoda, non è sicura. Un numero di telefono può essere riassegnato, intercettato o dirottato e con esso un aggressore ottiene le chiavi dell'account. Per i dirigenti che valutano il rischio aziendale, questo non è solo un problema a livello di utente, ma una vulnerabilità sistemica che gli aggressori avanzati sfruttano attivamente.

Vulnerabilità dell'autenticazione a più fattori

Quando ho cambiato il mio numero di telefono ma ho dimenticato di aggiornarlo sul mio account Google, sono stato bloccato nonostante conoscessi la mia password. Il processo di accesso richiedeva l'invio di un codice di verifica al mio vecchio numero e, poiché quel numero non mi apparteneva più, non potevo riceverlo. Per un dirigente o un dipendente, questo scenario può significare la perdita dell'accesso non solo alla posta elettronica, ma anche ai file di Google Drive, ai documenti condivisi e alle applicazioni di terze parti legate all'autenticazione di Google.

Messaggio di errore di Google "Impossibile accedere". — *Schermata della pagina di login di Google "Impossibile accedere".*

‍

Questo inconveniente personale evidenzia un problema più ampio: L'MFA basata su SMS crea singoli punti di fallimento che gli aggressori possono sfruttare. A differenza dell'autenticazione basata su app o phishing, i codici OTP (one-time passcode) degli SMS possono essere intercettati, reindirizzati o dirottati.

Negli ultimi anni sono emerse diverse tecniche di attacco che rendono questo rischio una realtà per le aziende. Ecco le 3 principali:

Scambio di SIM (o scambio di SMS): Gli aggressori convincono i gestori di telefonia mobile a trasferire il numero di telefono dell'obiettivo a una carta SIM che controllano. Una volta riusciti nell'intento, ricevono tutti i messaggi SMS destinati alla vittima, compresi i codici MFA. Questa tecnica ha alimentato frodi finanziarie e violazioni aziendali che sono costate milioni alle organizzazioni.
Ingegneria sociale: Gli aggressori possono indurre i dipendenti a reimpostare le impostazioni MFA e a sfruttare la verifica via SMS. Gruppi come Scattered Spider hanno aggirato con successo l'SMS 2FA in numerose violazioni di alto profilo, dimostrando quanto possa essere efficace l'ingegneria sociale mirata se combinata con le vulnerabilità degli SMS.
Sfruttamento di massa dei numeri: Gli aggressori acquistano blocchi di numeri riciclati o inutilizzati, scommettendo che alcuni rimangono collegati a conti online. Con l'automazione di massa, verificano la presenza di account legati a quei numeri e tentano l'acquisizione.

Ognuno di questi vettori di attacco dimostra perché l'MFA basato su SMS non è una salvaguardia affidabile contro le minacce moderne. Per le organizzazioni, l'impatto è molto più grave di un account bloccato. Queste vulnerabilità creano punti di ingresso per l'acquisizione di account, il movimento laterale all'interno delle reti e l'esfiltrazione dei dati, tutti elementi che gruppi avanzati come Scattered Spider utilizzano attivamente come armi.

I dirigenti devono vedere l'MFA basato su SMS per quello che è: una misura di convenienza, non un controllo di sicurezza. In ambienti ad alto rischio, espone l'azienda a violazioni evitabili. Il passaggio a metodi MFA phishing, come le chiavi di sicurezza o le chiavi d'accesso, unito al monitoraggio continuo dei comportamenti anomali delle identità, è essenziale per ridurre questo rischio.

Dopo che il 2FA via SMS è stato aggirato: Come si muovono gli attaccanti, un esempio di Scattered Spider

Quando gli aggressori eludono l'MFA basato su SMS, raramente la compromissione si ferma a un singolo account. Per i dirigenti, il vero pericolo è quello che segue: uso improprio delle credenziali, persistenza furtiva e rapida escalation nei sistemi critici. Di seguito è riportata una descrizione concisa e di facile comprensione della tipica progressione dell'attacco, illustrata con le tattiche utilizzate da Scattered Spider, un gruppo noto per la combinazione di social engineering e scambio di SIM per sconfiggere l'MFA via SMS.

Progressione tipica dell'attaccante dopo l'aggiramento dell'MFA via SMS

Controllo immediato dell'account: Con un codice monouso via SMS in mano, l'aggressore accede come utente legittimo. Può eseguire azioni che sembrano normali, il che lo aiuta a evitare gli avvisi di base.
Punto d'appoggio sicuro, riduzione dell'attrito: L'aggressore modifica le opzioni di recupero, aggiunge e-mail o numeri di telefono alternativi e reimposta la password per impedire all'utente reale di recuperare l'accesso.
Scalare i privilegi in SaaS: Poi si rivolgono alle piattaforme di identità e collaborazione, come Office 365 o Google Workspace, alla ricerca di impostazioni a livello di amministratore o di autorizzazioni per le caselle di posta elettronica. Piccole modifiche come la delega, le regole di posta in arrivo o l'inoltro possono dare visibilità a lungo termine alle comunicazioni.
Creare persistenza e backdoor: Gli aggressori aggiungono presidi di servizio, relazioni di fiducia falsificate o token API. Questi elementi sembrano legittimi sulla carta e consentono all'attaccante di tornare anche se una credenziale rubata viene ruotata.
Passaggio al cloud e alle risorse critiche: Con token di identità validi e diritti delegati, gli aggressori sondano i carichi di lavoro cloud , lo storage e i pannelli amministrativi, alla ricerca di dati sensibili, credenziali nei repository di codice o servizi mal configurati.
Esfiltrare, monetizzare o sabotare: Infine, esportano dati, spostano fondi o distribuiscono ransomware. Poiché l'attività proviene da account legittimi, il rilevamento e la risposta possono essere più lenti, aumentando l'impatto sull'azienda.

Scattered Spider, come libro di gioco illustrativo

Scattered Spider utilizza il phishing via SMS e lo scambio di SMS come parte del processo di attacco. — *Anatomia di un attacco di Scattered Spider*

Scattered Spider utilizza l'ingegneria sociale come mossa iniziale, spesso prendendo di mira il personale dell'help desk o dell'assistenza clienti per consentire lo scambio di SIM o il ripristino dell'MFA. Il loro approccio segue tipicamente queste fasi:

Social engineering mirato, convincendo i carrier o i team di assistenza a trasferire i numeri di telefono o ad approvare le modifiche MFA.
Utilizzo di SIM swap o SMS reindirizzati, ricezione di OTP e autenticazione come vittima.
Rapida raccolta dei privilegi, accesso alle console di amministrazione SaaS e abilitazione dell'inoltro della casella di posta o dell'accesso API.
Stabilire una persistenza dall'aspetto legittimo, come relazioni fiduciarie federate o mandanti di servizi che si integrano nelle normali configurazioni cloud .
Movimento laterale in sistemi di alto valore, dove possono verificarsi esfiltrazioni o frodi finanziarie.

Perché le aziende devono abbandonare l'MFA dei messaggi di testo: rischi strategici e alternative più sicure

I punti deboli dell'autenticazione a più fattori basata su SMS vanno ben oltre gli account personali. Per le aziende, rappresentano una una lacuna di sicurezza sistemica che può essere sfruttata con effetti devastanti. Un singolo dirottamento del numero di telefono o un codice di accesso unico intercettato sono sufficienti a un aggressore per fingersi un utente fidato e superare le difese perimetrali.

Gruppi come Scattered Spider hanno dimostrato fino a che punto queste debolezze possono essere utilizzate come armi. Utilizzando lo scambio di SIM e l'ingegneria sociale, hanno aggirato con successo l'MFA basato su SMS, hanno ottenuto l'accesso a sistemi di identità come Entra ID e hanno stabilito una persistenza a lungo termine in ambienti cloud . In alcuni casi, queste tattiche hanno contribuito a violazioni che sono costate alle aziende decine o addirittura centinaia di milioni di dollari in perdite dirette e sforzi di recupero.

Per i dirigenti, le implicazioni sono chiare:

Impatto finanziario e operativo: I conti compromessi possono portare a transazioni fraudolente, tempi di inattività e sanzioni normative.
Danno alla reputazione: Clienti e partner perdono fiducia quando gli aggressori sfruttano queste vulnerabilità evitabili.
Responsabilità strategica: L'abbandono dell'MFA basato su SMS lascia l'organizzazione esposta a metodi che gli aggressori industrializzano attivamente.

La strada da percorrere richiede metodi MFA phishing , come le chiavi di sicurezza FIDO2, le chiavi d'accesso o la biometria. A differenza dei codici SMS, questi non possono essere reindirizzati o intercettati, rendendoli resistenti allo scambio di SIM e alle campagne phishing . Agenzie come il CISA raccomandano già questi standard come best practice per le aziende che gestiscono dati sensibili.

La tecnologia, tuttavia, è solo una parte dell'equazione. Una cultura orientata alla sicurezza deve rafforzare queste misure. I dipendenti devono ricevere una formazione di sensibilizzazione per riconoscere gli stratagemmi dell'ingegneria sociale, come le chiamate fraudolente all'assistenza informatica volte a resettare l'MFA. In combinazione con il rilevamento continuo delle minacce all'identità e il monitoraggio guidato dall'intelligenza artificiale, le organizzazioni possono bloccare le attività anomale prima che portino a una violazione.

La conclusione per la leadership è semplice: L 'MFA basato su SMS non è più difendibile come controllo di sicurezza aziendale. La sostituzione con alternative phishing e l'abbinamento con il rilevamento continuo garantiscono una protezione più solida, la resistenza contro gruppi avanzati come Scattered Spider e la conservazione a lungo termine della fiducia aziendale.

Per capire meglio come gli aggressori riescano a bypassare le implementazioni MFA deboli e perché questo punto cieco rimanga un rischio pressante per le aziende, esplorate il nostro blog post: Gli aggressori non entrano, ma accedono: Il punto cieco dell'MFA.

DOMANDE FREQUENTI

Che cos'è l'autenticazione a più fattori (MFA) basata su SMS e perché viene utilizzata?

L'MFA basato su SMS è un processo di sicurezza che utilizza i messaggi di testo per fornire un codice o un link una tantum come ulteriore livello di verifica quando si accede a un account. Viene utilizzato per migliorare la sicurezza richiedendo una seconda forma di autenticazione oltre alla semplice password.

Quali sono i principali rischi associati all'MFA basato su SMS?

I principali rischi includono:

Intercettazione di messaggi SMS: I messaggi SMS non sono criptati e possono essere intercettati dagli aggressori.
Dipendenza dalla rete mobile: Le interruzioni possono impedire la ricezione dei codici di autenticazione.
Vulnerabilità SS7: Anche se oggi è meno comune, gli aggressori possono sfruttare il protocollo SS7 per intercettare i messaggi.
Ingegneria sociale: Gli aggressori possono ingannare le persone o i fornitori per trasferire i numeri di telefono.
Acquisto di numeri in massa: Gli aggressori possono acquistare numeri di telefono in massa per l'acquisizione di account.

In che modo un vecchio numero di telefono collegato a un account può causare problemi di sicurezza?

Se un numero di telefono viene riassegnato a un nuovo utente ma è ancora collegato agli account del precedente proprietario, il nuovo utente può potenzialmente accedere a tali account. Questo può portare ad un accesso non autorizzato e ad un potenziale uso improprio delle informazioni personali e dei dettagli finanziari.

Cosa dovete fare se il vostro numero di telefono viene riassegnato ed è ancora collegato ai vostri account?

Aggiornate immediatamente il vostro numero di telefono in tutti i vostri account online. Contattate i fornitori di servizi per dissociare il vecchio numero dai vostri account. Monitorate regolarmente i vostri account per individuare eventuali attività insolite e, se possibile, attivate metodi MFA più efficaci.

Quali sono le implicazioni più ampie delle vulnerabilità MFA basate sugli SMS per le aziende?

Le imprese sono maggiormente a rischio a causa dei grandi volumi di dati sensibili e di attività finanziarie. Le vulnerabilità MFA basate su SMS possono portare a violazioni significative, perdite finanziarie e danni alla reputazione. Le imprese devono adottare soluzioni MFA più efficaci per proteggere la loro infrastruttura digitale.

Quali sono le alternative consigliate all'MFA basato su SMS?

Le alternative più forti sono:

Autenticatori basati su app: Come Google Authenticator e Microsoft Authenticator.
Verifica biometrica: Utilizzo delle impronte digitali o del riconoscimento facciale.
Chiavi di sicurezza: Dispositivi fisici che forniscono un ulteriore livello di sicurezza.

Come possono gli utenti mitigare i rischi associati all'MFA basato su SMS?

Gli utenti possono:

Utilizzare un numero di telefono unico e non pubblicato per l'MFA basato su SMS.
Riservare l'MFA basato su SMS agli account meno sensibili.
Aggiornare regolarmente le informazioni sul conto, in particolare i numeri di telefono.
Monitorare le attività dell'account per individuare eventuali segni di accesso non autorizzato.

Che ruolo hanno i centri operativi di sicurezza (SOC) nell'affrontare le vulnerabilità dell'MFA?

I SOC sono fondamentali per monitorare, rilevare e rispondere alle minacce alla sicurezza. L'implementazione di una solida piattaforma di rilevamento e risposta alle minacce all'interno dei SOC può aiutare a identificare e mitigare le vulnerabilità legate all'MFA, migliorando la sicurezza complessiva.

Qual è il significato degli aggiornamenti regolari delle informazioni sull'account nella sicurezza digitale?

L'aggiornamento regolare delle informazioni sugli account, compresi i numeri di telefono, aiuta a prevenire gli accessi non autorizzati. Se un vecchio numero di telefono è ancora collegato ai conti, può causare problemi di accesso e potenziali violazioni quando il numero viene riassegnato a un nuovo utente.

Come possono le aziende promuovere una cultura di consapevolezza della sicurezza tra i dipendenti?

Le aziende possono:

Condurre regolarmente programmi di formazione e sensibilizzazione sulla sicurezza.
Incoraggiare le migliori pratiche per la sicurezza digitale.
Promuovere l'uso di metodi di MFA efficaci e il monitoraggio regolare delle attività del conto.
Assicurarsi che i dipendenti comprendano i rischi e siano vigili sulle potenziali minacce.

L'implementazione di queste misure e il mantenimento di un approccio proattivo alla sicurezza digitale possono ridurre significativamente i rischi associati all'MFA basato su SMS.