Tra le molte sigle che contraddistinguono i vari tranelli informatici in cui rischiamo di incappare, ce n’è uno poco noto ma non meno insidioso: il Push-Bombing.
Pensa a quante attività della tua azienda sono ormai basate su applicazioni cloud che richiedono un nome utente e una password. Con la diffusione di queste applicazioni il rischio di compromissione degli account cloud è diventato un problema importante per le aziende.
L’utilizzo in azienda di sistemi differenti costringe ogni utente a dover accedere a molti sistemi o applicazioni cloud diversi.
Gli hacker sono consapevoli di questo aspetto e utilizzano vari metodi per ottenere le credenziali di accesso. L’obiettivo è ottenere l’accesso diretto ai dati aziendali o impossessarsi di un account legittimo per lanciare attacchi sofisticati e inviare e-mail di insider phishing.
Quanto è diventato grave il problema delle violazioni degli account? Tra il 2019 e il 2021, la compromissione di account cloud (Account Takeover – ATO) è aumentata del 307%.
Ma per bloccare le violazioni delle credenziali non basta usare l’autenticazione a più fattori?
Molte aziende utilizzano l’autenticazione a più fattori (MFA) per proteggere i propri account.
L’MFA è ormai un modo consolidato ed efficace per proteggere gli account cloud dagli aggressori che sono entrati in possesso di nomi utente password di qualche utente.
Ma è proprio questa efficacia che ha spinto gli hacker a trovare delle soluzioni per contrastare questa misura di sicurezza. Uno di questi modi nefasti per aggirare l’MFA è il Push-Bombing.
Come funziona il Push-Bombing?
Quando un utente attiva l’MFA su un account, in genere riceve un codice o una richiesta di autorizzazione di qualche tipo. Ogni volta che l’utente inserisce le proprie credenziali di accesso, il sistema invia una richiesta di autorizzazione per completare l’accesso.
Il codice MFA o la richiesta di autorizzazione vengono solitamente inviati tramite un tipo di messaggio “push”. Gli utenti possono riceverlo in vari modi:
– SMS
– Un popup del dispositivo
– Una notifica dell’app
La ricezione di questa notifica è una parte normale del login di autenticazione a più fattori. È qualcosa con cui ormai la maggior parte degli utenti ha familiarità.
Con il Push-Bombing, gli hacker partono dalle credenziali di un utente che potrebbero aver ottenuto tramite phishing o da una lista (dump) di password di un qualche data-breach.
Sfruttando il processo di notifica push, gli hacker tentano di accedere più volte all’account dell’utente che vogliono violare. In questo modo l’utente legittimo riceve diverse notifiche push in sequenza, una dopo l’altra.
La maggior parte delle persone fortunatamente si chiedono il motivo della ricezione di un codice di autorizzazione inaspettato che non hanno richiesto. Ma quando si viene bombardati da queste notifiche, può essere facile fare erroneamente clic per approvare l’accesso. E il danno è fatto.
Il Push-Bombing è dunque una forma di attacco di social engineering progettato per:
– Confondere l’utente
– Logorare l’utente
– Ingannare l’utente e indurlo ad approvare la richiesta MFA per consentire l’accesso all’hacker.
Modi per combattere il Push-Bombing nella tua organizzazione
Educare i dipendenti
Sapere è potere. Quando un utente subisce un attacco Push-Bombing, può causare un danno per colpa di un semplice momento di disattenzione.
Per diminuire questo rischio, fai sapere agli utenti della tua rete cos’è e come funziona il Push-Bombing e spiegagli cosa fare se ricevono notifiche MFA che non hanno richiesto.
Se i dipendenti vengono istruiti in anticipo, saranno più preparati a difendersi.
Mettere ordine nelle app aziendali
In media, i dipendenti utilizzano 36 diversi servizi basati sul cloud al giorno. Si tratta di un gran numero di accessi da tenere sotto controllo. Più accessi si devono utilizzare, maggiore è il rischio di furto della password.
Analizza il numero di applicazioni utilizzate nella tua azienda. Cerca di ridurre il numero di applicazioni consolidandole e eliminando quelle usate solo sporadicamente. Piattaforme come Microsoft 365 e Google Workspace offrono molti strumenti dietro un unico login. La razionalizzazione dell’ambiente cloud migliora la sicurezza e la produttività.
Adottare soluzioni MFA resistenti al phishing
Se il software che utilizzi lo permette, è possibile sventare completamente gli attacchi Push-Bombing passando a una forma diversa di MFA. L’MFA resistente al phishing utilizza una passkey del dispositivo o una chiave di sicurezza fisica per l’autenticazione.
Questo tipo di autenticazione non prevede notifiche push da approvare. Questa soluzione è più complessa da configurare, ma è anche più sicura dell’MFA basato su testo o app.
Utilizzare politiche di “corretta igiene” delle password
Per avviare un attacco di Push-Bombing, gli hacker devono disporre di login e password validi per un utente di un servizio cloud. L’applicazione di politiche di password forti riduce la possibilità che una password venga violata.
Le pratiche standard per le politiche sulle password forti includono:
– Utilizzare almeno 12 caratteri alfanumerici, ma meglio se 14 o più. no
– Utilizzare una combinazione di lettere maiuscole, minuscole, numeri e simboli.
– Evitare nomi di persona, nomi di personaggi, prodotti o organizzazioni.
– Evitare parole che si possano trovare in un dizionario.
– Evitare di utilizzare le stesse credenziali per accedere a servizi cloud diversi:
– Ad ogni cambio password, utilizzare una password significativamente diversa da quelle precedenti.
Menu
