Vladimir chiaramente l'autenticazione a due fattori (2FA) è una misura di sicurezza aggiuntiva, non 100% inviolabile (e così dev'essere intesa!). Vedi anche la discussione: Aggirare l'autenticazione a due fattori
In questo caso specifico, come riporta l'articolo di cybersecurity360.it:
Lo sneaky phishing rappresenta una forma avanzata di phishing che utilizza metodi sofisticati per ingannare gli utenti, come la creazione di email e messaggi estremamente realistici [...]
Gli attacchi di sneaky phishing possono aggirare sistemi di autenticazione a due fattori basati su SMS, considerati meno sicuri. Metodi alternativi come i token hardware o i gestori di password sono suggeriti come misure più sicure per proteggere gli account da tali attacchi.
Oggi, anche merito/causa dell'IA, occorre sempre prestare più attenzione, oltre agli aspetti tecnici, anche e soprattutto a ciò che riguarda la social engineering. In breve, oggi è più facile fregare il cervello umano rispetto ad un firewall, a tal riguardo uno studio che fa sorridere ma anche riflettere, riportato da Social Engineering: The Art of Human Hacking:
In one test 125 employees of a very reputable company were sent fake image files labeled BritneyNaked.jpg, MileyCyrusShowering.jpg, and other such names, and each image was encoded with malicious code that would give the social engineer access on the user’s computer. The results were that more than 75 percent of the images were clicked. What was found was the younger the star mentioned in the picture, the higher the click ratio
Per ricordare l'importanza della consapevolezza e della stupidità del cervello umano rispetto ad un software avanzato; quindi, un attaccante cerca di fare breccia proprio nella vulnerabilità umana, con queste tecniche con a base la social engineering, rispetto ad un exploit zero-day (o zero-click).
Vedi anche discussione in tema: Come ci si può difendere dalle truffe di Vishing?
