12 luglio 2026

MFA fatigue: come gli attaccanti aggirano il secondo fattore che avete già pagato

Push-bombing, SIM swap e adversary-in-the-middle battono ogni settimana SMS e MFA a un tocco. Perché accade e cosa significa resistere al phishing.

La maggior parte delle organizzazioni violate lo scorso anno aveva l’autenticazione a più fattori attiva. È questa la parte scomoda. Gli attaccanti non hanno forzato il secondo fattore: gli sono passati accanto, con tecniche che funzionano proprio perché l’MFA in uso chiede a una persona stanca di prendere una decisione di sicurezza nel momento peggiore possibile.

Se la vostra MFA è un codice via SMS o un push «Approvi?» a un tocco, vale dieci minuti della vostra attenzione. Quei due metodi sono ormai quelli attorno ai quali gli attaccanti costruiscono il piano, non quelli che li fermano.

Tre attacchi che battono «un po’ di MFA»

  • Push-bombing (MFA fatigue). L’attaccante ha già la password: da un dump di una violazione, da un phishing o dal riutilizzo. Avvia un accesso dopo l’altro, scatenando una raffica di richieste di approvazione sul telefono dell’utente finché, per confusione o solo per farla smettere, qualcuno tocca Approva. Un tocco ed è dentro. È così che sono iniziate diverse violazioni di aziende molto note.
  • SIM swap. Gli SMS non sono mai stati concepiti come canale di sicurezza. Un attaccante che convince (o corrompe) un operatore mobile a spostare un numero su una nuova SIM riceve ogni codice monouso inviato a quel numero. Nessun malware, nessuna pagina di phishing: solo una telefonata a un servizio di assistenza.
  • Adversary-in-the-middle (AiTM). Una pagina di login falsa e convincente fa da proxy verso quella reale in tempo reale. La vittima inserisce la password e il codice; l’attaccante li ritrasmette entrambi all’istante e ruba il token di sessione che ne risulta. Il codice era valido. L’MFA «ha funzionato». L’account è comunque perso.

Il filo comune: ognuno di questi metodi dipende da un segreto o da un’approvazione che si può ritrasmettere: copiare dall’utente legittimo e replicare da parte dell’attaccante. Fermate la ritrasmissione e tutti e tre gli attacchi si fermano con essa.

Cosa li ferma davvero: autenticazione resistente al phishing e vincolata all’hardware

«Resistente al phishing» non è linguaggio da marketing: indica una proprietà precisa. Due cose devono essere vere allo stesso tempo: la chiave non può mai lasciare il dispositivo dell’utente, così non c’è nulla da catturare e riutilizzare; e l’utente può leggere esattamente ciò che sta approvando, così nulla viene approvato alla cieca.

  • La chiave risiede nell’hardware sicuro del telefono. Viene generata lì e non può essere esportata, copiata o sottratta con un SIM swap. Non c’è alcun segreto condiviso in un database o in arrivo via SMS, ed è questo a chiudere la porta a intercettazione, SIM swap e ritrasmissione AiTM.
  • Potete leggere esattamente ciò che state approvando. È questa la parte che ferma il push-bombing, e vale la pena essere precisi: nessuna chiave e nessun dato biometrico possono aiutare una volta che la richiesta raggiunge il telefono, perché l’attacco si limita a chiedere all’utente di dire sì. Un dato biometrico conferma soltanto che a toccare è il proprietario del telefono, non che l’accesso sia legittimo. Ciò che sconfigge il push-bombing è che ogni richiesta porta con sé una descrizione specifica e leggibile di esattamente ciò che si sta approvando: questo accesso, questo server, da qui, adesso. Una richiesta che l’utente non ha mai avviato è visibilmente non sua, e quindi la rifiuta. La salvaguardia è una descrizione abbastanza precisa da leggersi con un colpo d’occhio, non una persona stanca che resiste a un anonimo «Approvi?».
  • La sessione non può essere replicata. Poiché la firma è crittografica e vincolata alla richiesta, a un proxy AiTM non resta nulla che valga la pena rubare.

È questa la differenza tra un’MFA che alza l’asticella e un’MFA che un attaccante ha già imparato ad aggirare con uno script.

Dove si inserisce Notakey

Notakey è stata costruita esattamente attorno a questa proprietà. La chiave dell’utente viene generata all’interno dell’hardware sicuro del suo telefono e non lo lascia mai, e ogni approvazione è un registro firmato e con marca temporale dell’azione specifica, non un tocco anonimo.

  • Nessun segreto condiviso da sottrarre con il phishing, nessun SMS da intercettare, nessun codice da ritrasmettere.
  • Contro il push-bombing, la difesa è ciò che l’utente legge: ogni richiesta mostra una descrizione precisa di esattamente ciò che si sta approvando: quale sistema, quale azione, da dove. Così una richiesta che nessuno ha avviato è evidente al primo sguardo e viene rifiutata. Non c’è nulla da approvare alla cieca.
  • Copre le vie che gli attaccanti usano davvero: si vedano le guide pratiche per la 2FA su un VPN tramite RADIUS, il desktop remoto di Windows e l’SSH su Linux.

Vedetelo con i vostri occhi

Il modo più rapido per cogliere la differenza è approvare una transazione nel modo resistente al phishing, leggendo e firmando un’azione specifica dal vostro telefono, invece di toccare una richiesta priva di contesto.

Provate la demo dal vivo per firmarne una in circa due minuti, oppure richiedete una demo e mapperemo i vostri accessi VPN, SSO o Windows su un progetto pilota sulla vostra infrastruttura.

← Tutti gli articoli

Il vostro primo accesso senza password, già questa settimana

30 minuti con un ingegnere, non una presentazione commerciale. Insieme pianificheremo come avviare un progetto pilota funzionante nel vostro ambiente VPN, SSO o Windows.