Il Department of Homeland Security degli Stati Uniti ha pubblicato un report che illustra in dettaglio le tecniche sfruttate dal noto gruppo Lapsus$ durante gli attacchi effettuati tra il 2021 e 2022. I cybercriminali hanno usato il tradizionale SIM swapping in maniera molto efficace per aggirare le protezioni di sicurezza e accedere agli account aziendali, oltre all’ingegneria sociale per ingannare i dipendenti.
SIM swapping e MFA fatigue
Il gruppo Lapsus$, formato principalmente da teenager, è responsabile degli attacchi effettuati contro circa 40 aziende, tra cui NVIDIA, Samsung, Microsoft, Vodafone, T-Mobile, Okla, Uber, Twilio, Cisco, Ubisoft, Globant e Rockstar Games. I giovani cybercriminali hanno sfruttato tecniche a basso costo, rivelando punti di debolezza dei sistemi aziendali.
Il gruppo ha utilizzato la tecnica del SIM swapping per rubare il numero di telefono delle vittime e associarlo alle proprie SIM card. Dopo aver trovato i dati personali dei dipendenti sui social media o tramite phishing, i cybercriminali hanno colpito direttamente i tool di gestione dei clienti o chiesto aiuto a complici che lavorano per gli operatori telefonici e i loro partner per ottenere lo “swap” della SIM card.
Una delle tecniche di ingegneria sociale è denominata MFA fatigue. Il dipendente viene bersagliato da continue notifiche di accesso all’account finché non accetta “per disperazione”, consentendo il furto dell’account protetto dall’autenticazione in due fattori.
Il report evidenzia la scarsa protezione dell’autenticazione in due fattori tramite codice inviato via SMS o app. Il consiglio è utilizzare le chiavi hardware compatibili con lo standard FIDO2, in attesa della maggiore di diffusione delle passkey. Gli operatori telefonici dovrebbero invece adottare misure più stringenti relative alla verifica dell’identità per limitare il SIM swapping.