mercoledì, Maggio 22, 2024

L'autenticazione a due fattori può essere violata?

Must Read

Questo articolo è stato pubblicato da questo sito

Un modo di dire comune negli ambienti della cybersecurity è “nothing is unhackable”, niente è a prova di hacking. La conferma arriva da un nuovo attacco basato sul phishing che potrebbe rendere inefficace l’autenticazione a due fattori (2FA, two-factors-authentication), una delle misure più efficaci e usate per mettere in sicurezza l’accesso ai propri account più sensibili. A dimostrarlo sono i ricercatori dell’Università del Salento, Franco Tommasi, Christian Catalano e Ivan Taurino, che hanno sviluppato e descritto questo attacco in uno studio pubblicato un anno fa, intitolato Browser-in-the-Middle (BitM) attack.

Cos’è l’autenticazione a due fattori

Se il nome 2FA potrebbe dire poco ai lettori meno attenti ai temi della cybersecurity, in realtà questa misura di sicurezza è comune a svariati servizi, dall’home banking all’accesso a piattaforme come Google o Amazon, rendendola un’esperienza comune a chiunque usi regolarmente internet. L’autenticazione a due fattori è quello che accade quando, oltre alle classiche credenziali come e-mail e password, ci viene chiesto un ulteriore passaggio per completare l’accesso. Nella maggior parte dei casi questo implica l’inserimento di un codice pin che l’utente riceve tramite sms, mail o da un’app dedicata. In altre parole, si combina qualcosa che si conosce (le credenziali) con qualcosa che si possiede (il dispositivo o account che riceve il codice), rendendo insufficiente per un cyber-criminale il semplice furto delle credenziali.

Come funziona l’attacco BitM

L’attacco BitM sviluppato dai ricercatori pugliesi renderebbe questa misura di fatto inutile. Tutto parte da una classica tecnica di phishing: convincere la vittima a cliccare su un link malevolo. La differenza con gli attacchi già noti è che in questo caso la vittima si connette a un server che mostra il browser dell’attaccante, che restituirà il sito cercato. L’utente colpito vede insomma il computer di qualcun altro senza che sia possibile rendersene conto facilmente, inserisce le credenziali e conferma la propria identità tramite 2FA. 

A quel punto per l’hacker malevolo il gioco è fatto e si aprono due possibilità: un attacco passivo, finalizzato al raccoglimento di dati tramite un keylogger (un software che registra i tasti digitati sulla tastiera) e una registrazione video, o un attacco attivo, con lo scopo di modificare il traffico tra la vittima e l’applicazione, per esempio cambiando l’Iban di destinazione di una transazione bancaria. Questo attacco si avvale di una tecnologia nota come Vnc (Virtual Network Computing), software che permettono il controllo di una macchina a distanza tramite un accesso remoto molto usati tra gli amministratori di server. Attualmente lo studio si focalizza su un attacco a un pc desktop, ma i ricercatori stanno lavorando a una nuova pubblicazione dove approfondiranno l’applicazione di questo tipo di attacco a un contesto mobile.

Immagine tratta dallo studio sull'attacco BitM in cui i ricercatori hanno usato la webapp di Telegram come esempio.

Immagine tratta dallo studio sull’attacco BitM, in cui i ricercatori hanno usato la webapp di Telegram come esempio.

La migliore contromisura è l’attenzione

Raggiunti da Wired, i tre ricercatori confermano quanto già scritto nello studio, ovvero che la migliore contromisura è l’attenzione dell’utente: “Tutto parte dal phishing, se l’utente si rende conto in tempo di stare cliccando qualcosa di sospetto il problema non si pone”, afferma Tommasi, che all’Università del Salento è direttore del corso in Digital Humanities. C’è un caso molto specifico in cui l’autenticazione a due fattori può ancora salvare la vittima, spiega invece il ricercatore Christian Catalano: “È quello delle banche, oggi quasi tutte utilizzano un’applicazione ad hoc per la 2FA, che chiede una conferma per ogni operazione”. Questo non impedisce all’attaccante l’accesso, ma offre alla vittima una seconda possibilità: “Quando l’app chiede di confermare un bonifico, se questo è stato modificato dall’hacker l’utente può rendersi conto più facilmente di una cifra o un destinatario diversi da quelli previsti e negare il consenso

- Advertisement -spot_img
- Advertisement -spot_img
Latest News

L'intelligenza artificiale potrebbe sostituire 200mila dipendenti pubblici italiani

Più della metà dei dipendenti pubblici italiani vedrà la propria attività fortemente impattata dall’intelligenza artificiale. Lo certifica la ricerca...
- Advertisement -spot_img

More Articles Like This

- Advertisement -spot_img