Il phishing si riferisce a una varietà di attacchi che hanno lo scopo di convincere l’utente a cedere dati sensibili a un impostore. Questi attacchi possono assumere diverse forme: dallo spear-phishing (che prende di mira un individuo specifico all’interno di un’organizzazione), al whaling (che va oltre e prende di mira alti dirigenti o leader). Inoltre, gli attacchi di phishing avvengono su più canali, dai più tradizionali attacchi basati su e-mail a quelli che utilizzano la voce – vishing – a quelli che arrivano tramite SMS – smishing. A prescindere dal tipo o dal canale, l’intento dell’attacco è analogo: sfruttare la natura umana per ottenere il controllo di informazioni sensibili. Questo tipo di attacchi in genere fa uso di diverse tecniche, tra cui siti Web impersonati, attacker-in-the-middle e relay o replay per ottenere il risultato desiderato – spiega il NIST.

Grazie alla loro efficacia e semplicità, gli attacchi di phishing sono rapidamente diventati lo strumento preferito dai threat actor di tutto il mondo. Come tattica, viene utilizzata da tutti, dai criminali di basso livello che cercano di commettere frodi, ai sofisticati aggressori di stati nazionali che cercano un punto d’appoggio all’interno di una rete aziendale e, sebbene quasi ogni tipo di informazione possa essere presa di mira, spesso gli attacchi più dannosi si concentrano su password, PIN o one-time passcodes, le chiavi del tuo “regno digitale”. La combinazione può essere catastrofica. Il Verizon 2022 Data Breach Investigations Report elenca il phishing e le credenziali rubate (che possono essere raccolte durante gli attacchi di phishing) come due dei quattro “percorsi chiave” che le organizzazioni devono essere preparate ad affrontare per prevenire le violazioni. In riconoscimento della minaccia rappresentata dal phishing, la nota 22-09 dell’Office of Management and Budget “Moving the US Government Toward Zero Trust Cybersecurity Principles” dà la priorità all’implementazione di autenticatori resistenti al phishing.

Quindi, come fai a evitare che le tue chiavi cadano nelle mani sbagliate? Cosa costituisce un autenticatore resistente al phishing? La pubblicazione speciale NIST DRAFT 800-63-B4 lo definisce come “la capacità del protocollo di autenticazione di rilevare e impedire la divulgazione di segreti di autenticazione e output validi dell’autenticatore a una parte che si affida all’impostore senza fare affidamento sulla vigilanza dell’abbonato”. Per raggiungere tale obiettivo, gli autenticatori resistenti al phishing devono affrontare i seguenti vettori di attacco associati al phishing:

  • Impersonated Websites: gli autenticatori resistenti al phishing impediscono l’uso di autenticatori su siti Web illegittimi (noti come verificatori) attraverso molteplici misure crittografiche. Ciò si ottiene attraverso la creazione di canali protetti autenticati per le comunicazioni e metodi per limitare il contesto dell’uso di un autenticatore. Ad esempio, ciò può essere ottenuto tramite l’associazione del nome, in cui un autenticatore è valido solo per un dominio specifico (posso usarlo solo per un sito Web). Può anche essere ottenuto tramite l’associazione a un canale di comunicazione, come nel TLS autenticato dal client (posso usarlo solo su una connessione specifica).
  • Attacker-in-the-middle: gli autenticatori resistenti al phishing impediscono a un attacker-in-the-middle di acquisire i dati di autenticazione dall’utente e di inoltrarli al sito Web di riferimento. Ciò si ottiene attraverso misure crittografiche, come l’utilizzo di un canale protetto autenticato per lo scambio di informazioni e la firma digitale di dati e messaggi di autenticazione.
  • User Entry: gli autenticatori resistenti al phishing eliminano la necessità per un utente di digitare o inserire manualmente i dati di autenticazione su Internet. Ciò si ottiene attraverso l’uso di chiavi crittografiche per l’autenticazione che vengono sbloccate localmente tramite un biometrico o un pin. Nessuna informazione inserita dall’utente viene scambiata tra il sito Web di riferimento e l’autenticatore stesso.
  • Replay: gli autenticatori resistenti al phishing impediscono agli aggressori di utilizzare i dati di autenticazione acquisiti in un secondo momento. Anche il supporto di controlli crittografici per limitare il contesto e prevenire scenari di attaccante nel mezzo previene gli attacchi di riproduzione, in particolare l’autenticazione con firma digitale e time-stamp e i dati dei messaggi.

Per quanto complicato possa sembrare, oggi esistono diversi esempi pratici di autenticatori resistenti al phishing. Per i dipendenti federali degli Stati Uniti, la forma più diffusa di autenticatore resistente al phishing è la carta PIV (Personal Identity Verification); sfruttano la crittografia a chiave pubblica per proteggere gli eventi di autenticazione. Commercialmente, gli autenticatori FIDO abbinati all’API di autenticazione Web del W3C sono la forma più comune di autenticatori resistenti al phishing ampiamente disponibili oggi. Questi possono assumere la forma di chiavi hardware separate o essere incorporati direttamente nelle piattaforme (ad esempio il tuo telefono o laptop). La disponibilità, la praticità e la sicurezza di questi “autenticatori di piattaforma” mettono sempre più nelle mani degli utenti autenticatori potenti e resistenti al phishing senza la necessità di ulteriori fattori di forma o dongle.

Non tutte le transazioni richiedono autenticatori resistenti al phishing, ciononostante, per le applicazioni che proteggono informazioni sensibili (come informazioni sanitarie o dati riservati dei clienti) o per utenti con privilegi elevati (come amministratori o personale di sicurezza) le organizzazioni dovrebbero applicare, o almeno offrire, autenticatori resistenti al phishing. Gli individui dovrebbero esplorare le impostazioni di sicurezza per i loro account online più sensibili per vedere se sono disponibili autenticatori resistenti al phishing e utilizzarli. In realtà, questi strumenti sono spesso più facili, veloci e convenienti dell’MFA, come i codici di testo SMS, che potrebbero essere attualmente utilizzati.

Gli autenticatori resistenti al phishing sono uno strumento fondamentale per la sicurezza personale e aziendale che dovrebbe essere abbracciato e adottato. Non sono, tuttavia, un “proiettile d’argento”. Gli autenticatori resistenti al phishing affrontano solo un obiettivo degli attacchi di phishing: la compromissione e il riutilizzo di autenticatori come password e one-time passcodes. Non mitigano i tentativi di phishing che potrebbero avere obiettivi alternativi come l’installazione di malware o la compromissione di informazioni personali da utilizzare altrove. Gli autenticatori resistenti al phishing dovrebbero essere abbinati a un programma completo di prevenzione del phishing che includa la consapevolezza e la formazione degli utenti, i controlli di protezione della posta elettronica, gli strumenti di prevenzione della perdita di dati e le funzionalità di sicurezza della rete, concludono gli esperti del NIST.

 

https://www.nist.gov/blogs/cybersecurity-insights/phishing-resistance-protecting-keys-your-kingdom

Twitter
Visit Us
LinkedIn
Share
YOUTUBE