Vladimir come spiega ad esempio blog.hypr.com, i sistemi Multi-Factor Autentication (MFA), così come il classico 2FA (autenticazione in due fattori, codice ricevuto via SMS), sono una sicurezza in più ma possono essere comunque aggirati in vario modo (approfondimento: aggirare l'autenticazione a due fattori).
- The 2022 Passwordless Security Report found that push attacks grew 33% year over year
- Push attacks are a favorite tactic of Nobelium, the Russian hacking group behind the massive Solar Winds supply chain attack
- The recent attacks by the Lapsus$ hacking group underscore the level of risk push notification MFA creates for organizations
Quindi gli attacchi basati su notifiche push presuppongono che l'attaccante sia già entrato in possesso (in vario modo) dei dati di login, username e password. La vittima riceve in genere una mail, notifica che richiede l'autenticazione, magari inviata in modo ripetuto e fastidioso, questa infine accetta di autenticarsi: purtroppo "abbassando la guardia" e avendo scarsa consapevolezza, se il proprio dispositivo invia un messaggio del tipo "accetta" o "approva", siamo sempre tentati di confermare, senza volere interruzioni, fastidi di vario genere.
Esistono anche alternative alle notifiche push MFA e in ogni caso la consapevolezza ("devo cliccare? Sono io che ho richiesto questa operazione? Confermo o non confermo?") aiuta a prevenire problemi come phishing e in generale tutto l'ambito della social engineering.