Continuamo a conoscere la prossima coppia di cyber minacce predetta da WatchGuard per il 2022. Come le precedenti – che se non hai letto, ti consigliamo di farlo – sono nuove inside che riguardano tutti aziende e privati cittadini.
3. L’SMSishing colpirà le piattaforme di messaggistica
Il phishing basato su testi, noto con il nome “SMSishing”, è cresciuto esponenzialmente nel corso degli anni. Esattamente come è avvenuto con il social engineering tramite email, all’inizio era caratterizzato da messaggi ‘esca’ senza destinatari specifici, che venivano diffusi a grandi gruppi di utenti, poi è evoluto in testi più mirati e travestiti da messaggi inviati da conoscenti, magari anche dal proprio capo.
Parallelamente, si sono evolute anche le piattaforme più comuni per l’invio di messaggistica. Gli utenti, in particolare i professionisti, hanno compreso l’aspetto poco sicuro degli SMS in chiaro grazie al NIST, a diverse violazioni avvenute ai danni di carrier e alla consapevolezza della lacunosità degli standard carrier, come il Signaling System 7 (SS7). Di conseguenza, molti hanno spostato la loro messaggistica aziendale su app alternative come WhatsApp, Facebook Messenger o persino Teams o Slack.
C’è poco da fare: dove ci sono utenti legittimi, lì ci sono anche cybercriminali. Stiamo quindi assistendo all’aumento di report su attacchi tramite messaggi spear SMSishing malevoli e destinati a piattaforme di messaggistica come WhatsApp. Avete ricevuto un messaggio WhatsApp dal vostro CEO, in cui vi veniva richiesto di configurare un account per un progetto a cui sta lavorando? Forse dovreste chiamare o contattare il vostro capo tramite altri mezzi di comunicazione, per verificare che l’autore del messaggio sia veramente lui!
Per il 2022 ci attendiamo il raddoppio dei messaggi di phishing mirati su molte piattaforme di messaggistica.
4. L’autenticazione passwordless fallirà nel lungo termine senza MFA
È ufficiale. Windows è accessibile senza più nessuna password! Mentre festeggiamo la totale eliminazione delle password a vantaggio dell’autenticazione online, crediamo anche che l’attuale focus ininterrotto sull’autenticazione a fattore singolo per i login Windows non faccia altro che replicare gli errori del passato. Windows 10 e 11 consentiranno ora di configurare autenticazioni interamente passwordless, usando opzioni come Hello (autenticazione biometrica di Microsoft), un token hardware Fido oppure un’e-mail con una password monouso (OTP).
Se da una parte elogiamo Microsoft per questo coraggioso passo, crediamo che tutti i meccanismi di autenticazione a fattore singolo siano la scelta sbagliata e ripetano i vecchi errori. L’autenticazione biometrica non è un ostacolo insuperabile, infatti, sia i ricercatori che gli hacker hanno ripetutamente superato diversi meccanismi biometrici. Di certo la tecnologia sta migliorando, tuttavia anche le tecniche di attacco lo fanno (specialmente in un mondo di social media, fotogrammetria e stampa 3D). In generale, i token hardware sono un’altra opzione forte a fattore singolo, tuttavia la violazione a RSA ha dimostrato che non sono invincibili. Francamente poi, le e-mail con testo in chiaro con OTP sono veramente una cattiva idea.
L’unica soluzione robusta per la convalida dell’identità digitale è l’autenticazione multifattore (MFA). Secondo WatchGuard, Microsoft (e altri) potrebbero realmente risolvere questo problema rendendo l’MFA obbligatoria e semplice in Windows. Sebbene Hello possa essere usato come semplice fattore di autenticazione, le aziende dovrebbero imporre agli utenti di affiancarlo ad altre opzioni, come un’approvazione push inviata tramite un canale criptato al proprio cellulare (senza testi né e-mail in chiaro).
WatchGuard prevede che l’autenticazione passwordless di Windows decollerà nel 2022, tuttavia si aspetta che hacker e ricercatori trovino i modi per bypassarla, a confermare che non abbiamo imparato nulla dalle lezioni del passato.