Sicurezza delle 2FA push: attacchi e contromisure

Molte aziende stanno sostituendo l’autenticazione a due fattori via SMS con prompt push perché è generalmente più sicura e più comoda. Tuttavia non è infallibile: gli attaccanti possono comunque aggirare la 2FA push. Questa guida descrive i metodi d’attacco più comuni, come riconoscerli e le contromisure pratiche per proteggere account e dispositivi.

Principali tipi di attacco

MFA Fatigue (stanchezza da MFA)

Descrizione: L’attaccante invia ripetutamente richieste di approvazione push su un account per il quale già conosce la password. L’obiettivo è stancare o infastidire l’utente fino a che accetta per togliere la notifica.

Perché funziona: Sfrutta confusione, fastidio o distrazione dell’utente. Alcuni servizi mostrano un codice numerico sulla pagina di login che l’utente deve selezionare nell’app; questo riduce i falsi positivi ma non elimina il rischio se le scelte sono poche.

Cosa fare subito se ricevi molte richieste:

• Non approvare richieste non sollecitate.
• Cambia immediatamente la password e abilita controllo degli accessi (ad es. sessioni attive).
• Controlla dispositivi collegati e disconnetti le sessioni sospette.

Mitigazioni consigliate:

• Abilitare limiti di velocità e blocchi per tentativi multipli di push (lato provider).
• Richiedere conferme contestuali (codici numerici visibili solo sulla pagina di login).
• Forzare ri-autenticazione e notifica via e-mail quando vengono rilevati tentativi ripetuti.

Quando questo metodo fallisce: Se l’utente è addestrato a non approvare richieste non richieste e il provider impone misure anti-automation, l’attacco perde efficacia.

Social engineering su prompt push

Descrizione: L’attaccante contatta la vittima (telefono, chat, e-mail) fingendo di essere un rappresentante del servizio o dell’IT e la convince ad approvare il prompt. Spesso l’attaccante ha già la password e attende solo l’approvazione.

Perché funziona: Sfrutta fiducia e urgenza sociale; molte persone rispondono a richieste che sembrano legittime se pressate.

Cosa fare subito:

• Non condividere mai password, codici TOTP o approvare prompt per terzi.
• Rifiuta chiamate o messaggi che chiedono di approvare un login; contatta l’azienda attraverso canali ufficiali.

Mitigazioni consigliate:

• Formazione degli utenti con esempi concreti di truffe.
• Policy aziendale chiara: l’helpdesk non chiederà mai approvazioni o password.

Exploit del fallback tramite SMS

Descrizione: Alcuni servizi permettono di scegliere l’SMS come metodo secondario. L’attaccante passa al metodo SMS, che è vulnerabile a riciclo dei numeri o SIM swap.

Perché funziona: SMS è un canale meno sicuro; numeri telefonici possono essere riattribuiti o compromessi.

Cosa fare subito:

• Se possibile, disabilita l’SMS come metodo di recupero dalle impostazioni dell’account.
• Rimuovi il numero di telefono dall’account se non è obbligatorio.

Mitigazioni consigliate:

• Usare metodi secondari sicuri (es. app TOTP o chiavi hardware) invece di SMS.
• Per gli amministratori: bloccare cambi di numero o richiedere verifica multi-step per modificarlo.

Approvazione automatica da dispositivo infetto

Descrizione: Malware con permessi elevati (amministratore dispositivo o accessibilità) può leggere lo schermo e simulare tocchi per approvare automaticamente i prompt.

Perché funziona: Con i permessi giusti, il malware può eseguire azioni come un utente umano.

Cosa fare subito:

• Se sospetti infezione, isolare il dispositivo: rimuovi la connessione di rete e usa un dispositivo pulito per modificare le credenziali critiche.
• Eseguire scansione antimalware e ripristinare il dispositivo se necessario.

Mitigazioni consigliate:

• Limitare le app con permessi di accessibilità o amministratore.
• Abilitare l’autenticazione biometrica obbligatoria per approvare prompt quando disponibile.
• Bloccare installazioni da sorgenti non attendibili e usare gestione dispositivi mobile (MDM) in ambito aziendale.

Overlay falso (fake overlay)

Descrizione: Malware mostra un’interfaccia fasulla sopra l’app di autenticazione per ingannare l’utente. Un esempio documentato in casi precedenti è stato il comportamento di malware che copre il prompt reale con un messaggio innocuo.

Perché funziona: L’interfaccia sembra legittima e contestuale (es. richiesta di ottimizzazione batteria), quindi l’utente può approvare senza sospetti.

Cosa fare subito:

• Non approvare prompt che non corrispondono a un’azione che stai svolgendo.
• Disinstallare app sospette e ripristinare il dispositivo se necessario.

Mitigazioni consigliate:

• Strumenti anti-overlay e restrizioni alle app che possono disegnare sopra altre app.
• Uso di hardware o passkey che non possono essere manipolate dall’applicazione principale.

Approcci alternativi e migliori pratiche

Per aumentare la sicurezza complessiva, considera queste alternative o complementi alle 2FA push:

• Passkeys (FIDO2/WebAuthn): autenticazione senza password basata su chiavi pubbliche. Riduce drasticamente il rischio di phishing e push fraudolenti.
• Chiavi di sicurezza hardware (YubiKey e simili): offrono autenticazione di alto livello e non sono vulnerabili a malware o overlay sul telefono.
• App TOTP offline: non dipendono dalla rete o dalle SMS; buona alternativa quando non sono disponibili soluzioni hardware.
• Autenticazione biometrica sul dispositivo di approvazione: obbliga interazione fisica, ma attenzione agli attacchi di fatigue.

Pro e contro sintetici:

• Passkeys/chiavi hardware: massima sicurezza; richiedono gestione e distribuzione.
• TOTP: semplice, ma soggetto a phishing se inserito manualmente su pagine false.
• Push: comodo, buono come default ma non sufficiente da solo in grandi organizzazioni.

Mini-metodologia: come rispondere a un push sospetto (passo-passo)

1. Non approvare il prompt.
2. Se hai già approvato per errore, scollega immediatamente l’accesso e cambia la password da un dispositivo sicuro.
3. Abilita o modifica i metodi di recupero (rimuovi SMS se possibile).
4. Contatta l’assistenza ufficiale del servizio se noti attività non autorizzate.
5. Segnala l’evento al team di sicurezza aziendale.

Checklist per ruolo

Utente finale:

• Non approvare richieste non richieste.
• Abilitare biometria per le approvazioni.
• Tenere il dispositivo aggiornato e limitare permessi app.

Amministratore IT:

• Disabilitare SMS come fallback quando possibile.
• Abilitare monitoraggio di tentativi ripetuti e blocco automatico.
• Forzare uso di passkey o chiavi hardware per profili ad alto privilegio.

Team Sicurezza:

• Implementare SSO con criteri di rischio adattivo.
• Eseguire simulazioni di MFA fatigue e campagne di sensibilizzazione.
• Preparare playbook di incidente per account compromessi.

Helpdesk:

• Non chiedere mai di approvare prompt al posto dell’utente.
• Verificare richieste sensibili con canali out-of-band.

Decisione rapida: flusso per un push sospetto

flowchart TD
  A[Ricevo un push non previsto] --> B{Ho iniziato un login?}
  B -- Sì --> C[Controlla il contesto: sito/ora/dispositivo]
  B -- No --> D[Non approvare e cambia password]
  C --> E{Tutto corretto?}
  E -- No --> D
  E -- Sì --> F[Approva con cautela]
  D --> G[Scansione malware e verifica dispositivi]
  F --> H[Continua login]
  G --> I[Segnala e isola dispositivo]

Criteri di accettazione per una 2FA push sicura

• Le notifiche push devono includere contesto verificabile (applicazione, indirizzo IP approssimativo, codice numerico visibile sul sito) e non solo un messaggio generico.
• Deve essere possibile disabilitare SMS come fallback dall’interfaccia utente e attraverso policy centralizzate.
• Le approvazioni sensibili richiedono un fattore fisico o biometrico sul dispositivo di approvazione.
• Devono essere presenti meccanismi anti-automation e rate limiting lato server.

Rischi residui e quando la 2FA push non basta

• Utente disinformato o sotto pressione (social engineering avanzato).
• Dispositivo primario compromesso con permessi elevati.
• Policy aziendali che forzano numeri telefonici come unico recupero.

Se questi rischi sono materiali, preferire passkeys o chiavi hardware per gli account critici.

Glossario rapido

• Push: notifica di approvazione inviata all’app di autenticazione.
• MFA fatigue: attacco che sfrutta la ripetizione di richieste.
• SIM swap: trasferimento fraudolento del numero telefonico a un altro SIM.
• Passkey: credenziale basata su chiave pubblica per autenticazione senza password.

Note sulla privacy e conformità (GDPR)

• La gestione dei numeri di telefono e dei metodi di recupero è trattamento di dati personali. Limitare la conservazione e l’accesso solo al personale autorizzato.
• Registrare le modifiche ai metodi di autenticazione e i tentativi di accesso sospetti per motivi di auditing e risposta agli incidenti.
• Valutare l’impatto sulla protezione dei dati quando si introduce una nuova tecnologia di autenticazione.

Riepilogo e raccomandazioni pratiche

Le 2FA push offrono un buon equilibrio tra sicurezza e usabilità, ma non devono essere considerate una soluzione definitiva. Per ridurre il rischio:

• Non approvare richieste non sollecitate.
• Rimuovere SMS come fallback quando possibile.
• Usare passkeys o chiavi hardware per account sensibili.
• Rinforzare la sicurezza del dispositivo di approvazione e limitare i permessi delle app.

Importante: la formazione degli utenti e policy aziendali chiare sono tanto efficaci quanto le misure tecniche. Una combinazione di tecnologia più sicura (passkey/chiave hardware), hardening dei dispositivi e processi operativi è la strategia più resistente agli attacchi.