Phishing e l’autenticazione a due fattori

Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento sul Phishing e sulla sicurezza delle password, argomento già trattato in qualche articolo precedente, nel dettaglio andremo a vedere una tecnica di Phishing per aggirare l’autenticazione a due fattori.

Il sistema di autenticazione a due fattori, (considerato uno standard per l’accesso sicuro alle risorse), ha però alcuni punti deboli che potrebbero essere utilizzati da un malintenzionato per portare a termine attacchi mirati di tipo phishing.

Tutto questo è possibile in quanto la convinzione di avere a che fare con un sistema sicuro può fare eseguire in modo automatico alcune operazioni senza la dovuta attenzione.

In questo modo un malintenzionato potrebbe accedere in modo fraudolento ad aree riservate.

Autenticazione a due fattori: criticità  e vantaggi

L’autenticazione a due fattori, consente di rafforzare il meccanismo della password, pur non essendo l’ottimo è comunque considerata ampiamente una best practice per proteggere i nostri account e i nostri dati sui vari sistemi.

La cosa migliore sarebbe quella di avere un’autenticazione a tre fattori:

1. Quello che sai (ad esempio la password);
2. Qualcosa che hai (token, telefono);
3. Quello che sei (dato biometrico).

Un sistema del genere però rappresenterebbe evidenti difficoltà soprattutto per quanto concerne l’identificazione e l’accesso su siti internet.

Probabilmente per questo motivo l’autenticazione a due fattori, (rappresentata dal binomio password e token/OTP –  One Time Password), stia sempre più prendendo piede.

Questo sistema lo troviamo in applicazioni delicate , come ad esempio siti di internet banking, la posta elettronica o i profili dei social network.

Sicuramente è decisamente più sicuro del solo utilizzo della password (è stato dimostrato ampiamente violabile o aggirabile).

Anche adottando una best practice, non saremo al sicuro al 100%  e paradossalmente potrebbe portare ad un abbassamento della percezione del rischio.

Aggirare il sistema di autenticazione a due fattori con il Phishing

L’articolo “When Best Practice Isn’t Good Enough: Large Campaigns of Phishing Attacks in Middle East and North Africa Target Privacy-Conscious Users” pubblicato sul sito di Amnesty International (reperibile a questo link: https://www.amnesty.org/en/latest/research/2018/12/when-best-practice-is-not-good-enough

mostra come sia semplice sfruttare il falso senso di sicurezza di utenti anche se preparati.

L’articolo citato riporta ad una statistica  di una massiccia campagna di phishing, eseguita in Medio Oriente e Nord Africa, progettata per aggirare il sistema di autenticazione a due fattori.

Il sistema creato è complesso e come obiettivo ha utenti che hanno una minima percezione delle misure da adottare per rendere sicuro il proprio account.

Descrizione dell’attacco

I malintenzionati hanno acquisito dei siti con un dominio praticamente uguale a quello originale (ad esempio hanno cambiato solamente il dominio di primo livello) , per poi costruire un sito identico.

L’acquisizione del dominio ha permesso a loro di installare un certificato SSL reale, in questo modo forniscono al malintenzionato un ulteriore elemento di rassicurazione.

Il vero attacco avviene poi con l’invio di e-mail di attenzione per l’account violato, dove viene richiesto il cambio della password.

Il malcapitato cliccando sul link accede al sito fasullo per immettere le credenziali, credenziali che ovviamente vengono automaticamente girate al sito originale che provvedeva a:

1. richiesta del codice token.
2. invio al telefono della vittima dell’OTP.

Un identico attacco è stato fatto anche su account Google e Yahoo, in questo caso era stato effettuato un lavoro certosino di preparazione di social engineering che prevedeva la condivisione e la collaborazione su documenti in Google Docs al fine di carpire la fiducia dell’utente.

Considerazioni sulla sicurezza dell’accesso a due fattori

Ovviamente un attacco come questo non è banale, il malintenzionato ha scelto con cura il bersaglio, ha preparato l’infrastruttura in modo tale da rendere minimi i sospetti da parte dell’attaccato, (probabilmente era un gruppo e non solo una persona).

Questa infrastruttura è complessa e prevede la possibilità di registrare e utilizzare dati che spesso hanno un tempo di vita non superiore ai 30 secondi.

Che l’attacco abbia avuto successo non significa che lo schema di autenticazione a due fattori non sia valido o sia da abbandonare. Il suo livello di sicurezza è incomparabile rispetto al classico utilizzo della sola password. E’ importante valutare come l’elemento abitudine e il senso di sicurezza umano siano sempre elementi cruciali.

Consigli e suggerimenti anti Phishing

Anche i sistemi di autenticazione ritenuti sicuri possono avere dei punti deboli che possono essere sfruttati da un malintenzionato per bypassare il sistema stesso.

Per evitare di cascare nella rete, consiglio di non abbassare mai la guardia, pensando che i sistemi informatici vi mettano al riparo da ogni rischio.

In caso di ricevimento di una mail strana, ad esempio dalla propria banca dove vi vengono chieste le credenziali di accesso, contattare subito telefonicamente la propria banca per chiedere chiarimenti.

Modifica subito le password e avvia subito una scansione dell’antivirus sul proprio pc/device.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

• Ecco come vedere gli attacchi hacker in tempo reale
• Ecco cosa è successo alla banca Silvergate
• Waldo: un nuovo motore di ricerca da provare
• La nuova AI di Snapchat basata su ChatGPT
• Quora ha creato il proprio ChatBot