L’agenzia statunitense per la sicurezza delle infrastrutture e della cybersecurity (CISA) ha pubblicato un dettagliato rapporto in cui esorta a rafforzare le protezioni contro il SIM swapping e a spostarsi verso un futuro senza password, in risposta agli attacchi di Lapsus$ dello scorso anno.
L’impatto di Lapsus$
Lapsus$ ha fatto notizia l’anno scorso rivendicando la responsabilità di cyberattacchi che hanno colpito grandi aziende tecnologiche come Nvidia, Samsung, Ubisoft, T-Mobile, Uber e Microsoft. Il gruppo ha anche rubato e divulgato 90 video contenenti gameplay del prossimo gioco Grand Theft Auto VI di Rockstar. Sette adolescenti legati al gruppo sono stati arrestati a Londra l’anno scorso.
Raccomandazioni della CISA
La CISA sollecita la Federal Trade Commission e la Federal Communications Commission a fare di più per proteggere i consumatori dagli attacchi di SIM swapping. Di recente, la FCC ha proposto un nuovo insieme di regole che obbligherebbero i fornitori di servizi wireless ad “adottare metodi sicuri di autenticazione del cliente” durante gli scambi di SIM.
Tecniche e metodi di Lapsus$
Nonostante l’ampiezza degli attacchi di Lapsus$, la CISA sottolinea quanto fosse facile per i suoi membri, in alcuni casi adolescenti, infiltrarsi in organizzazioni ben difese. Uno dei metodi utilizzati da Lapsus$ è lo SIM swapping, che consente al malintenzionato di ricevere chiamate o messaggi da quel numero, inclusi messaggi contenenti codici di autenticazione a due fattori associati agli account sensibili della vittima.
Verso un futuro senza password
La CISA raccomanda ora alle aziende di abbandonare l’autenticazione multifattore basata su voce e SMS a favore di soluzioni senza password. Suggerisce che le organizzazioni utilizzino chiavi di passaggio conformi allo standard FIDO2, che consente agli utenti di accedere ai loro account utilizzando le loro impronte digitali o una chiave di sicurezza basata su hardware. Numerose aziende e gestori di password stanno già iniziando a supportare metodi di accesso senza password, tra cui Google, 1Password, Microsoft e Dashlane.
Prevenzione della cybercriminalità giovanile
Dato che la maggior parte dei noti hacker di Lapsus$ sono adolescenti, la CISA suggerisce anche che il Congresso finanzi “programmi di prevenzione della cybercriminalità giovanile” e promuova “programmi di interruzione e reindirizzamento” per impedire ai giovani di entrare nel mondo della cybercriminalità in futuro.