- Modificato
Di recente un gruppo di ricercatori italiani ha dimostrato un metodo efficace in grado di aggirare l'autenticazione a due fattori (2FA). In particolare:
L’attacco è avviato con la tecnica del phishing ma, a differenza di quanto accade di solito per questo tipo di attacchi, l’utente non è ridiretto a un sito fasullo che gli appare come quello che credeva di visitare, permettendo così agli attaccanti di impadronirsi delle credenziali (cosa inutile se è attiva l’autenticazione a due fattori), ma viene effettivamente condotto a visitare il sito autentico. E per tale motivo gli studiosi l’hanno chiamato “Browser-in-the-Middle (BitM) attack”. I ricercatori hanno infatti dimostrato come possano porsi tra l’utente e il sito e, senza che lui se ne accorga, facendogli visualizzare nel suo browser un altro browser che fa da intermediario, perfettamente identico o con delle modifiche. E a quel punto il gioco è fatto.
Più in generale, sono stati fatti altri studi e l'autenticazione a due fattori può essere aggirata in questi modi:
- furto di cookie, dirottamento di sessione
- generazione di codice duplicato (non facile, significa es. comprendere l'algoritmo di Google Authenticator)
- brute force (oggi piuttosto vincolante anche questo in termini di efficacia ed efficienza del metodo)
- ingegneria sociale (al giorno d'oggi, con i livelli di protezione che esistono, la cosa più facile da "fregare" è la mente umana!)
- OAuth (utilizzo account di terze parti)
Il metodo migliore per difendersi, resta sempre la consapevolezza. Infatti:
Gli hacker possono infatti aggirare l’autenticazione a due fattori, ma in ogni metodo hanno bisogno del consenso degli utenti che ottengono ingannandoli. Senza ingannare gli utenti, non è possibile aggirare la 2FA.
Fonte
Approfondimento: Browser-in-the-middle