E' vero che gli hacker possono violare l'autenticazione a due fattori?
Il sistema è indispensabile per la protezione degli account online, ma non è immune da attacchi

Redazione ANSA
30 settembre 2024 - 15:27
Doppia autenticazione (2FA) © ANSA

Cosa verifichiamo

L'autenticazione a due fattori (2FA) è una misura di sicurezza che richiede la verifica di due condizioni per accedere a un servizio o ad un account, anche di social network. Oltre alla verifica della password, l'utente deve fornire un secondo fattore come un codice inviato via sms o generato attraverso una app di autenticazione, o un'impronta digitale. Sebbene questa misura metta al riparo gli utenti da attacchi in cui un malintenzionato sia in possesso delle loro credenziali, gli attori malevoli hanno cominciato ad attaccare i sistemi protetti da questa misura di sicurezza.

Analisi

Gli esperti di sicurezza hanno riportato come diverse categorie di attaccanti stiano sviluppando tecniche sempre più sofisticate per bypassare l'autenticazione a due fattori. Per evitare di esser vittima di queste tecniche di attacco è indispensabile la loro conoscenza.

Il phishing è probabilmente la tecnica più semplice e diffusa per aggirare l'autenticazione a due fattori. Un attaccante invia e-mail o messaggi confezionati affinché appaiano come provenienti da fonti affidabili, convincendo gli utenti a cliccare su link malevoli presenti nel testo. Una volta cliccato sul link, la vittima è indirizzata alla pagina di autenticazione di siti web falsi che imitano quelli legittimi. Queste pagine richiedono agli utenti di inserire le loro credenziali e i codici 2FA, ma una volta fornite tali informazioni, queste saranno inviate agli attaccanti. Varianti della tecnica prevedono l’invio di messaggi attraverso sms, in tal caso si parla di smishing, o chiamate telefoniche che istruiscono la vittima a visitare il sito web falso o a fornire le credenziali, in questo caso la tecnica è nota come vishing (o voice-phishing). Sono disponibili nel mercato criminale diversi phishing kit che consentono con pochi passaggi di condurre questi attacchi bypassando l’autenticazione 2FA di piattaforme come Microsoft 365 and Google Gmail.

Con il malware, invece, un attaccante potrebbe utilizzare un codice malevolo per superare l’autenticazione a due fattori. In questo scenario l’attaccante infetta il sistema utilizzato dalla vittima in modo che il malware possa catturare le credenziali e i codici di autenticazione 2FA mentre sono inseriti dagli utenti quando tentano di autenticarsi a siti e servizi legittimi. I malware possono sono anche in grado di intercettare il codice di autenticazione inviato via sms. Le informazioni sono inviate in tempo reale agli attaccanti che le utilizzano per operare in luogo della vittima superando l’autenticazione 2FA.

Ci sono poi gli attacchi Man-in-the-Middle (Mitm) in cui un hacker utilizza un Url ingannevole per reindirizzare la vittima ad un reverse proxy server, un server posto tra la vittima ed il servizio legittimo che è usato per intercettare la comunicazione. Il proxy, controllato dall'attaccante, usa un certificato di autenticazione Tls falso per decifrare il traffico Https, catturando informazioni sensibili come credenziali e cookie di sessione 2FA. La vittima interagirà con il sito legittimo, mentre l'attaccante posto nel mezzo potrà accedere ai cookie di sessione che gli consentono di operare in nome dell’utente una volta che si sarà autenticato. Nonostante il sito sembri legittimo, discrepanze nell'Url e nel certificato possono indicare l'attacco.

Con il Sim Swapping un attore malevolo prendere il controllo del numero di telefono della vittima. Gli attaccanti contattano l’operatore telefonico fingendosi la vittima e richiedendo una nuova Sim associata al numero della vittima. Una volta ottenuto il controllo del numero, possono ricevere i codici 2FA inviati via SMS.

Infine, con gli attacchi di ingegneria sociale (Social Engineering) gli aggressori possono utilizzare tecniche di social engineering per ottenere informazioni sensibili direttamente dalle vittime o dai dipendenti delle aziende. Ad esempio, possono impersonare un tecnico del supporto o un rappresentante del servizio clienti per convincere qualcuno a fornire le credenziali di accesso o i codici 2FA.

Conclusioni

Sebbene l'autenticazione a due fattori innalzi in maniera importante il livello di sicurezza degli account online, esiste la possibilità che un attaccante eluda questa misura. Gli attori malevoli stanno specializzando le loro tecniche per bypassare questa protezione. Formare gli utenti sulle principali tecniche di attacco e adottare tecnologie di difesa avanzate può aumentare la resilienza contro gli attacchi informatici sempre più complessi.

Fonti

Pierluigi Paganini, Ceo di Cyberhorus, professore di Cybersecurity presso l'Università Luiss Guido Carli e coordinatore scientifico Sole 24 Ore formazione

Microsoft

ANSA

Proofpoint

Forbes

Mitnick Security

Zitadel

Netskope

Acronis

Menlo Security

PhishLabs

 

Riproduzione riservata © Copyright ANSA
Il Fact-check è uno strumento dell'agenzia ansa contro la disinformazione
Offriamo informazioni utili contro le falsità che circolano attraverso la rete

I nostri team fanno del loro meglio per consultare tutte le domande che ci vengono sottoposte. Lavoriamo per rispondere alle richieste e proposte che ci pervengono sulla base di diversi criteri e ci riserviamo il diritto di operare una selezione tra tutte le richieste dando priorità a quelle più rilevanti e interessanti per il pubblico. Riteniamo che i reclami fantasiosi, infondati, offensivi, minacciosi o chiaramente derivanti da un'azione coordinata di spam non richiedano una nostra risposta. Per consentirci di rispondere a una richiesta di verifica, il messaggio o la dichiarazione su cui si richiede di indagare devono alludere a fatti o dati. Non verifichiamo opinioni o, in genere, affermazioni su eventi non ancora accaduti.

Informativa privacy

(*) Tramite il modulo è possibile inviare informazioni su possibili errori nei fact check ANSA

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.