La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un avviso completo che mette in guardia gli utenti dai rischi derivanti dall’affidarsi allo Short Message Service (SMS) per l’autenticazione a più fattori (MFA).
Questa raccomandazione costituisce una parte centrale di la nuova”Guida alle migliori pratiche per le comunicazioni mobili” di CISA, che mira a rafforzare la sicurezza delle comunicazioni mobili, in particolare per gli individui presi di mira da attacchi informatici sofisticati.
L’avviso, pubblicato il 18 dicembre 2024, si inserisce in un contesto di crescenti minacce informatiche, in particolare da parte di attori sponsorizzati dallo stato che prendono di mira comunicazioni sensibili.
“SMS MFA non è resistente al phishing e non si tratta quindi di un’autenticazione forte per gli account di individui altamente presi di mira,”afferma l’avviso, sottolineando la richiesta dell’agenzia di alternative più sicure come i protocolli di autenticazione Fast Identity Online (FIDO).
Correlati: La scappatoia critica dell’MFA di Microsoft ha messo in luce milioni di account utente
Perché l’MFA tramite SMS è vulnerabile
L’MFA basata su SMS è stata a lungo una scelta popolare per proteggere gli account online a causa alla sua semplicità e alla sua adozione diffusa. Tuttavia, la CISA identifica due principali vulnerabilità che rendono l’AMF SMS inadeguata per le moderne sfide della sicurezza informatica.
In primo luogo, i messaggi SMS vengono trasmessi in chiaro, rendendoli suscettibili di intercettazione da parte di aggressori che hanno avuto accesso alle reti di telecomunicazione. In secondo luogo, l’MFA SMS non è resistente al phishing, il che significa che gli autori delle minacce possono facilmente ingannare gli utenti inducendoli a condividere i propri codici di autenticazione tramite messaggi o siti Web fraudolenti.
Correlato: AWS debutta il servizio di risposta agli incidenti in un contesto di cyber cyber alle stelle Minacce
Queste vulnerabilità sono state sfruttate da attori sponsorizzati dallo stato, in particolare quelli legati alla Cina. Tali attori hanno preso di mira le infrastrutture di telecomunicazione per intercettare messaggi SMS e compromettere account sensibili.
Nel suo avviso, la CISA avverte che i soggetti ad alto rischio, come funzionari governativi e personale delle infrastrutture critiche, sono particolarmente vulnerabili a queste forme di attacco.
La transizione verso Autenticazione resistente al phishing
Per affrontare questi rischi, CISA consiglia di passare a metodi MFA resistenti al phishing, con una forte enfasi su Autenticazione FIDO. I protocolli FIDO sfruttano le chiavi crittografiche per autenticare gli utenti senza trasmettere dati sensibili su reti non sicure.
Le chiavi di sicurezza basate su hardware, come Yubico o Google Titan, sono evidenziate come le più robuste opzione, sebbene anche le passkey FIDO, ovvero le credenziali crittografiche digitali, siano considerate alternative accettabili.
“Una volta registrato nell’autenticazione basata su FIDO, disabilitare altre forme di MFA meno sicure”, consiglia la guida. Ciò garantisce che il fallback opzioni, come gli SMS, non creano inavvertitamente vulnerabilità sfruttabili.
Correlato: Microsoft aggiorna le API WebAuthn di Windows 11 per abilitare passkey di terze parti
Raccomandazioni più ampie per la sicurezza mobile
Oltre a sconsigliare l’autenticazione a più fattori tramite SMS, le linee guida CISA forniscono una serie di migliori pratiche per proteggere le comunicazioni mobili, tra cui l’adozione piattaforme di messaggistica crittografate end-to-end, come Signal, per garantire che le comunicazioni rimangano private e protette.
Anche l’aggiornamento regolare del software del dispositivo è fondamentale, poiché gli aggiornamenti spesso includono patch per vulnerabilità note. CISA consiglia inoltre di utilizzare gestori di password per generare e archiviare in modo sicuro password univoche, riducendo così il rischio di compromissione dell’account a causa di credenziali deboli o riutilizzate.
L’avviso mette in guardia anche contro l’uso di reti private virtuali personali (VPN) , affermando che possono trasferire le vulnerabilità dai fornitori di servizi Internet ai fornitori di VPN. Le organizzazioni sono invece incoraggiate a utilizzare soluzioni di livello aziendale quando è richiesto l’accesso VPN.
Correlato: Malware basato sull’intelligenza artificiale: come le app false e i CAPTCHA prendono di mira gli utenti Windows e macOS
Comprendere l’autenticazione FIDO
L’autenticazione Fast Identity Online (FIDO) rappresenta un’importante progresso nella sicurezza degli account. A differenza dei tradizionali metodi MFA, FIDO si basa sulla crittografia a chiave pubblica per autenticare gli utenti.
Quando un utente registra un dispositivo, una chiave crittografica privata viene generata e archiviata in modo sicuro sul dispositivo, mentre una chiave pubblica corrispondente viene archiviata sul server. Durante l’accesso, il dispositivo firma una richiesta al server utilizzando la chiave privata, garantendo che le informazioni sensibili non lascino mai il dispositivo.
Questo metodo fornisce una solida protezione contro phishing e attacchi man-in-the-middle, rendendolo un strumento essenziale per salvaguardare conti di elevato valore. Eliminando la necessità di codici trasmessi, l’autenticazione FIDO risolve le principali vulnerabilità inerenti all’MFA SMS.
Il contesto più ampio della sicurezza informatica
Le linee guida CISA fanno parte di un uno sforzo maggiore per affrontare le crescenti minacce da parte di attori informatici sponsorizzati dallo stato. Negli ultimi anni sono aumentate le campagne dannose contro le infrastrutture di telecomunicazione, consentendo agli aggressori di intercettare comunicazioni private ed esfiltrare dati sensibili.
Le linee guida si rivolgono specificamente a individui che ricoprono ruoli ad alto rischio, come alti funzionari governativi e dirigenti aziendali, che sono spesso al centro di questi attacchi informatici avanzati.
“Gli individui altamente presi di mira dovrebbero assumere che tutte le comunicazioni tra dispositivi mobili sono a rischio di intercettazione o manipolazione”, avverte la guida. Questa dura valutazione riflette la natura in evoluzione delle minacce informatiche e sottolinea l’importanza di implementare misure di sicurezza più forti.
