Le vulnerabilità dell'autenticazione a due fattori via SMS

24 gennaio 2024
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Le vulnerabilità dell'autenticazione a due fattori via SMS

Un tempo l'autenticazione a due fattori (2FA) basata su SMS era considerata una salvaguardia affidabile, ma da tempo gli aggressori hanno trovato il modo di sfruttarne le debolezze. Dall'acquisizione di account tramite numeri di telefono riciclati alle campagne di scambio di SIM da parte di gruppi come Scattered Spider, l'MFA basata su SMS espone le organizzazioni a violazioni evitabili. Ciò che può iniziare come un inconveniente personale, come la perdita dell'accesso a un account Google o Amazon, può rapidamente degenerare in una compromissione aziendale, in una frode finanziaria e nell'esfiltrazione dei dati.

Questo blog mette in evidenza esempi reali e playbook di attacchi avanzati per mostrare perché l'SMS 2FA non è più difendibile come controllo di sicurezza e cosa devono fare i dirigenti per proteggere le loro organizzazioni.

Esempio del mondo reale: Perché l'SMS 2FA non è sicuro

Un paio di anni fa, ho dovuto impostare un nuovo numero di telefono e ho imparato subito quanto possa essere fragile l'autenticazione a più fattori basata su SMS (2FA). La prima sorpresa l'ho avuta con il mio account Amazon. Il numero che avevo appena acquisito era ancora legato all'account di un'altra persona.

Quando ho cercato di proteggere il mio account, ho scoperto quanto sarebbe stato facile per qualcun altro accedervi. Amazon consente agli utenti di accedere con un numero di cellulare e di bypassare completamente la password richiedendo un codice di accesso unico (OTP) inviato via SMS. In pratica, questo significa che chiunque abbia un numero di telefono collegato a un account può ricevere il codice e accedere senza conoscere la password originale.

Interfaccia di accesso Amazon e OTP ricevuto via sms.
Schermata della pagina di accesso di Amazon e dell'OTP ricevuto via SMS.

Una volta entrato, l'individuo può reimpostare la password dell'account, modificare l'e-mail associata e persino effettuare acquisti utilizzando i dati della carta di credito memorizzati. In particolare, Amazon non richiede una convalida bancaria aggiuntiva per queste transazioni, quindi un aggressore determinato potrebbe sfruttare questa falla per attività fraudolente.

Account amazon violato a causa di un MFA basato su SMS non aggiornato
Schermate dell'interfaccia di Amazon che mostrano l'account dell'ex proprietario del numero di cellulare

Nel mio caso, ho avuto accesso involontariamente all'account del precedente proprietario, ma ho immediatamente fatto un passo indietro e ho dissociato il numero per poter proteggere il mio. Questo incidente illustra come l'autenticazione basata su SMS apra la porta a rischi di acquisizione dell'account. Per un'azienda, le conseguenze vanno ben oltre l'inconveniente personale. Se questo scenario si verificasse con un account aziendale, le conseguenze potrebbero essere transazioni finanziarie non autorizzate, perdita di dati e un colpo diretto alla fiducia dei clienti.

Come rimuovere gli sms mfa da un account Amazon
Screenshot dell'interfaccia di Amazon che mostra la rimozione del numero di cellulare

Questo semplice esempio mostra perché la 2FA basata su SMS, pur essendo comoda, non è sicura. Un numero di telefono può essere riassegnato, intercettato o dirottato e con esso un aggressore ottiene le chiavi dell'account. Per i dirigenti che valutano il rischio aziendale, questo non è solo un problema a livello di utente, ma una vulnerabilità sistemica che gli aggressori avanzati sfruttano attivamente.

Vulnerabilità dell'autenticazione a più fattori

Quando ho cambiato il mio numero di telefono ma ho dimenticato di aggiornarlo sul mio account Google, sono stato bloccato nonostante conoscessi la mia password. Il processo di accesso richiedeva l'invio di un codice di verifica al mio vecchio numero e, poiché quel numero non mi apparteneva più, non potevo riceverlo. Per un dirigente o un dipendente, questo scenario può significare la perdita dell'accesso non solo alla posta elettronica, ma anche ai file di Google Drive, ai documenti condivisi e alle applicazioni di terze parti legate all'autenticazione di Google.

Messaggio di errore di Google "Impossibile accedere".
Schermata della pagina di login di Google "Impossibile accedere".

Questo inconveniente personale evidenzia un problema più ampio: L'MFA basata su SMS crea singoli punti di fallimento che gli aggressori possono sfruttare. A differenza dell'autenticazione basata su app o phishing, i codici OTP (one-time passcode) degli SMS possono essere intercettati, reindirizzati o dirottati.

Negli ultimi anni sono emerse diverse tecniche di attacco che rendono questo rischio una realtà per le aziende. Ecco le 3 principali:

  1. Scambio di SIM (o scambio di SMS): Gli aggressori convincono i gestori di telefonia mobile a trasferire il numero di telefono dell'obiettivo a una carta SIM che controllano. Una volta riusciti nell'intento, ricevono tutti i messaggi SMS destinati alla vittima, compresi i codici MFA. Questa tecnica ha alimentato frodi finanziarie e violazioni aziendali che sono costate milioni alle organizzazioni.
  2. Ingegneria sociale: Gli aggressori possono indurre i dipendenti a reimpostare le impostazioni MFA e a sfruttare la verifica via SMS. Gruppi come Scattered Spider hanno aggirato con successo l'SMS 2FA in numerose violazioni di alto profilo, dimostrando quanto possa essere efficace l'ingegneria sociale mirata se combinata con le vulnerabilità degli SMS.
  3. Sfruttamento di massa dei numeri: Gli aggressori acquistano blocchi di numeri riciclati o inutilizzati, scommettendo che alcuni rimangono collegati a conti online. Con l'automazione di massa, verificano la presenza di account legati a quei numeri e tentano l'acquisizione.

Ognuno di questi vettori di attacco dimostra perché l'MFA basato su SMS non è una salvaguardia affidabile contro le minacce moderne. Per le organizzazioni, l'impatto è molto più grave di un account bloccato. Queste vulnerabilità creano punti di ingresso per l'acquisizione di account, il movimento laterale all'interno delle reti e l'esfiltrazione dei dati, tutti elementi che gruppi avanzati come Scattered Spider utilizzano attivamente come armi.

I dirigenti devono vedere l'MFA basato su SMS per quello che è: una misura di convenienza, non un controllo di sicurezza. In ambienti ad alto rischio, espone l'azienda a violazioni evitabili. Il passaggio a metodi MFA phishing, come le chiavi di sicurezza o le chiavi d'accesso, unito al monitoraggio continuo dei comportamenti anomali delle identità, è essenziale per ridurre questo rischio.

Dopo che il 2FA via SMS è stato aggirato: Come si muovono gli attaccanti, un esempio di Scattered Spider

Quando gli aggressori eludono l'MFA basato su SMS, raramente la compromissione si ferma a un singolo account. Per i dirigenti, il vero pericolo è quello che segue: uso improprio delle credenziali, persistenza furtiva e rapida escalation nei sistemi critici. Di seguito è riportata una descrizione concisa e di facile comprensione della tipica progressione dell'attacco, illustrata con le tattiche utilizzate da Scattered Spider, un gruppo noto per la combinazione di social engineering e scambio di SIM per sconfiggere l'MFA via SMS.

Progressione tipica dell'attaccante dopo l'aggiramento dell'MFA via SMS

  1. Controllo immediato dell'account: Con un codice monouso via SMS in mano, l'aggressore accede come utente legittimo. Può eseguire azioni che sembrano normali, il che lo aiuta a evitare gli avvisi di base.
  2. Punto d'appoggio sicuro, riduzione dell'attrito: L'aggressore modifica le opzioni di recupero, aggiunge e-mail o numeri di telefono alternativi e reimposta la password per impedire all'utente reale di recuperare l'accesso.
  3. Scalare i privilegi in SaaS: Poi si rivolgono alle piattaforme di identità e collaborazione, come Office 365 o Google Workspace, alla ricerca di impostazioni a livello di amministratore o di autorizzazioni per le caselle di posta elettronica. Piccole modifiche come la delega, le regole di posta in arrivo o l'inoltro possono dare visibilità a lungo termine alle comunicazioni.
  4. Creare persistenza e backdoor: Gli aggressori aggiungono presidi di servizio, relazioni di fiducia falsificate o token API. Questi elementi sembrano legittimi sulla carta e consentono all'attaccante di tornare anche se una credenziale rubata viene ruotata.
  5. Passaggio al cloud e alle risorse critiche: Con token di identità validi e diritti delegati, gli aggressori sondano i carichi di lavoro cloud , lo storage e i pannelli amministrativi, alla ricerca di dati sensibili, credenziali nei repository di codice o servizi mal configurati.
  6. Esfiltrare, monetizzare o sabotare: Infine, esportano dati, spostano fondi o distribuiscono ransomware. Poiché l'attività proviene da account legittimi, il rilevamento e la risposta possono essere più lenti, aumentando l'impatto sull'azienda.

Scattered Spider, come libro di gioco illustrativo

Scattered Spider utilizza il phishing via SMS e lo scambio di SMS come parte del processo di attacco.
Anatomia di un attacco di Scattered Spider

Scattered Spider utilizza l'ingegneria sociale come mossa iniziale, spesso prendendo di mira il personale dell'help desk o dell'assistenza clienti per consentire lo scambio di SIM o il ripristino dell'MFA. Il loro approccio segue tipicamente queste fasi:

  1. Social engineering mirato, convincendo i carrier o i team di assistenza a trasferire i numeri di telefono o ad approvare le modifiche MFA.
  2. Utilizzo di SIM swap o SMS reindirizzati, ricezione di OTP e autenticazione come vittima.
  3. Rapida raccolta dei privilegi, accesso alle console di amministrazione SaaS e abilitazione dell'inoltro della casella di posta o dell'accesso API.
  4. Stabilire una persistenza dall'aspetto legittimo, come relazioni fiduciarie federate o mandanti di servizi che si integrano nelle normali configurazioni cloud .
  5. Movimento laterale in sistemi di alto valore, dove possono verificarsi esfiltrazioni o frodi finanziarie.

Perché le aziende devono abbandonare l'MFA dei messaggi di testo: rischi strategici e alternative più sicure

I punti deboli dell'autenticazione a più fattori basata su SMS vanno ben oltre gli account personali. Per le aziende, rappresentano una una lacuna di sicurezza sistemica che può essere sfruttata con effetti devastanti. Un singolo dirottamento del numero di telefono o un codice di accesso unico intercettato sono sufficienti a un aggressore per fingersi un utente fidato e superare le difese perimetrali.

Gruppi come Scattered Spider hanno dimostrato fino a che punto queste debolezze possono essere utilizzate come armi. Utilizzando lo scambio di SIM e l'ingegneria sociale, hanno aggirato con successo l'MFA basato su SMS, hanno ottenuto l'accesso a sistemi di identità come Entra ID e hanno stabilito una persistenza a lungo termine in ambienti cloud . In alcuni casi, queste tattiche hanno contribuito a violazioni che sono costate alle aziende decine o addirittura centinaia di milioni di dollari in perdite dirette e sforzi di recupero.

Per i dirigenti, le implicazioni sono chiare:

  • Impatto finanziario e operativo: I conti compromessi possono portare a transazioni fraudolente, tempi di inattività e sanzioni normative.
  • Danno alla reputazione: Clienti e partner perdono fiducia quando gli aggressori sfruttano queste vulnerabilità evitabili.
  • Responsabilità strategica: L'abbandono dell'MFA basato su SMS lascia l'organizzazione esposta a metodi che gli aggressori industrializzano attivamente.

La strada da percorrere richiede metodi MFA phishing , come le chiavi di sicurezza FIDO2, le chiavi d'accesso o la biometria. A differenza dei codici SMS, questi non possono essere reindirizzati o intercettati, rendendoli resistenti allo scambio di SIM e alle campagne phishing . Agenzie come il CISA raccomandano già questi standard come best practice per le aziende che gestiscono dati sensibili.

La tecnologia, tuttavia, è solo una parte dell'equazione. Una cultura orientata alla sicurezza deve rafforzare queste misure. I dipendenti devono ricevere una formazione di sensibilizzazione per riconoscere gli stratagemmi dell'ingegneria sociale, come le chiamate fraudolente all'assistenza informatica volte a resettare l'MFA. In combinazione con il rilevamento continuo delle minacce all'identità e il monitoraggio guidato dall'intelligenza artificiale, le organizzazioni possono bloccare le attività anomale prima che portino a una violazione.

La conclusione per la leadership è semplice: L 'MFA basato su SMS non è più difendibile come controllo di sicurezza aziendale. La sostituzione con alternative phishing e l'abbinamento con il rilevamento continuo garantiscono una protezione più solida, la resistenza contro gruppi avanzati come Scattered Spider e la conservazione a lungo termine della fiducia aziendale.

--

Per capire meglio come gli aggressori riescano a bypassare le implementazioni MFA deboli e perché questo punto cieco rimanga un rischio pressante per le aziende, esplorate il nostro blog post: Gli aggressori non entrano, ma accedono: Il punto cieco dell'MFA.

DOMANDE FREQUENTI

Che cos'è l'autenticazione a più fattori (MFA) basata su SMS e perché viene utilizzata?
Quali sono i principali rischi associati all'MFA basato su SMS?
In che modo un vecchio numero di telefono collegato a un account può causare problemi di sicurezza?
Cosa dovete fare se il vostro numero di telefono viene riassegnato ed è ancora collegato ai vostri account?
Quali sono le implicazioni più ampie delle vulnerabilità MFA basate sugli SMS per le aziende?
Quali sono le alternative consigliate all'MFA basato su SMS?
Come possono gli utenti mitigare i rischi associati all'MFA basato su SMS?
Che ruolo hanno i centri operativi di sicurezza (SOC) nell'affrontare le vulnerabilità dell'MFA?
Qual è il significato degli aggiornamenti regolari delle informazioni sull'account nella sicurezza digitale?
Come possono le aziende promuovere una cultura di consapevolezza della sicurezza tra i dipendenti?