Privacy e sicurezza per evitare truffe – Come utilizzare al meglio l’autenticazione a due fattori

Per proteggere i miei dati e il mio conto in banca mi è stato proposto di utilizzare, dal mio istituto di credito, un sistema di autenticazione a due fattori, a dir loro più solido.

Un mio amico informatico mi ha detto però, che questo sistema ha delle falle e vanno usate delle precauzioni.

E’ vero? C’è anche qui il rischio di essere frodati?

L’autenticazione a due fattori consente di elevare il livello di sicurezza per l’accesso alle risorse, ma ha alcuni punti deboli che potrebbero essere sfruttati per portare a termine attacchi mirati di tipo phishing: ecco come prendere alcune precauzioni al fine di mettere al sicuro i nostri dati riservati.

Anche il sistema dell’autenticazione a due fattori, ormai considerato uno standard di fatto per la definizione di accesso sicuro alle risorse, ha alcuni punti deboli che potrebbero essere utilizzati dai criminal hacker per portare a termine attacchi mirati di tipo phishing.

Ciò è possibile in quanto la convinzione di avere a che fare con un sistema sicuro può farci eseguire in modo automatico alcune operazioni senza prestare la dovuta attenzione, permettendo ad un malintenzionato di accedere in modo fraudolento ad aree riservate.

L’autenticazione a due fattori, lo ricordiamo, consente di rafforzare il meccanismo della password e, pur non essendo l’ottimo, è considerata ampiamente una best practice per proteggere account e dati.

L’ottimo sarebbe un’autenticazione a tre fattori:

  • qualcosa che sai (ad esempio la password);
  • qualcosa che hai (token, telefono);
  • qualcosa che sei (dato biometrico).

Tale sistema presenta però evidenti difficoltà soprattutto per quanto concerne l’identificazione e l’accesso su siti internet.

Da qui il fatto che l’autenticazione a due fattori, tipicamente rappresentata dal binomio password e token/OTP (One Time Password), stia sempre più prendendo piede.

La si trova infatti in applicazioni delicate (accesso a siti di internet banking, ad esempio) e sempre di più in applicazioni fino a poco tempo fa ritenute non critiche, come la posta elettronica o i profili dei social network.

Il sistema è decisamente più sicuro del solo utilizzo della password che si è dimostrato ampiamente violabile o aggirabile.

Il fatto di adottare una best practice non ci mette però al sicuro del tutto e paradossalmente potrebbe portare ad un abbassamento della percezione del rischio.

L’articolo “When Best Practice Isn’t Good Enough: Large Campaigns of Phishing Attacks in Middle East and North Africa Target Privacy-Conscious Users” pubblicato sul sito di Amnesty International mostra come sia semplice sfruttare il falso senso di sicurezza di utenti, comunque preparati, per aggirare il sistema di accesso a due fattori.

L’articolo riporta che è stata osservata una massiccia campagna di phishing, con obiettivi Medio Oriente e Nord Africa, congegnata per aggirare il sistema di autenticazione a due fattori.

Il sistema implementato è complesso e ha come obiettivo utenti che hanno comunque una minima percezione delle misure da adottare per rendere sicuro il proprio account.

Gli attaccanti hanno innanzitutto acquisito dei siti con un dominio praticamente identico a quello originale (in un caso hanno cambiato solamente il dominio di primo livello) e hanno costruito, come d’abitudine in questi casi, un sito identico.

L’acquisto del dominio ha permesso loro di installare un certificato SSL valido in modo da fornire un ulteriore elemento di rassicurazione.

L’attacco è poi avvenuto inviando e-mail di attenzione per l’account violato con la richiesta di cambio della password.

L’utente cliccando sul link accedeva al sito fasullo e immetteva le credenziali.

Queste venivano automaticamente girate al sito originale che provvedeva o alla richiesta del codice token o all’invio al telefono della vittima dell’OTP.

Il sistema provvedeva a inoltrare l’OTP al sito originale e contemporaneamente forniva all’attaccante l’accesso alle informazioni riservate dell’utente.

Lo stesso tipo di attacco è stato portato anche su account Google e Yahoo.

In questo caso è stato effettuato un lavoro preparatorio di social engineering che prevedeva la condivisione e collaborazione su documenti in Google Docs al fine di carpire la fiducia dell’utente.

Un attacco come questo è sicuramente non banale.

L’attaccante ha scelto con cura il bersaglio e ha preparato l’infrastruttura in modo tale da rendere minimi i sospetti da parte dell’attaccato.

L’infrastruttura è complessa e prevede la possibilità di registrare e utilizzare dati che spesso hanno un tempo di vita non superiore ai 30 secondi.

La registrazione del sito con nome molto simile, l’uso del certificato SSL e la possibilità di combinare tecniche di phishing e social engineering denotano un livello di preparazione e interesse decisamente elevato.

L’acceso alle informazioni è però sostanzialmente limitato alla singola sessione autenticata, a seconda dei meccanismi di protezione dei siti ma non per questo meno pericoloso.

Pur nella sua complessità, l’attacco rivela l‘esistenza di possibili workaround a uno schema che di fatto è diventato sinonimo di autenticazione sicura.

Il fatto che l’attacco abbia avuto successo non significa però che lo schema di autenticazione a due fattori non sia valido o sia da abbandonare.

Certamente il suo livello di sicurezza è incomparabile rispetto al solo utilizzo della password, come ampiamente dimostrato.

Penso che però sia molto importante valutare come l’elemento abitudine e il senso di sicurezza umano siano sempre elementi cruciali.

Gli utenti vittima di questo attacco, come ho già ribadito, sono persone che hanno consapevolezza dei rischi e hanno deciso di affidarsi a sistemi più sicuri di autenticazione.

Presumibilmente sono anche preparati al riconoscimento di sistemi semplici di phishing e hanno conoscenza dell’importanza della comunicazione su un canale cifrato attraverso il protocollo HTTPS.

Ciononostante, il controllo superficiale e il falso senso di sicurezza dato, appunto, dal fatto di essere in un ambiente “sicuro” li ha indotti a non controllare con attenzione il processo di accesso.

E’ sempre importante sottolineare che i soli elementi tecnici di difesa e sicurezza non siano sufficienti a garantire la stessa.

Anche sistemi di autenticazione ritenuti sicuri, a ragione, possono avere dei punti deboli che possono essere sfruttati per bypassare il sistema stesso.

È necessario che anche gli utenti più consapevoli non abbassino la guardia pensando che il sistema tecnico li metta al riparo da ogni rischio e continuino ad applicare attenzione e controllo per evitare di rimanere vittima di attacchi nuovi e raffinati.

11 Aprile 2019 · Gennaro Andele

Social Mailing e Feed


condividi su FB     condividi su Twitter     iscriviti alla newsletter del blog     iscriviti al feed RSS degli articoli del blog forum

Seguici su Facebook

Approfondimenti

Polizza rc auto online? - Ecco qualche consiglio da adottare per evitare le truffe
Dopo aver abbandonato il mio broker assicurativo, poiché mi faceva spendere troppo, ho deciso di puntare su una polizza rc auto online: ho paura, però, di prendere una fregatura ed avrei bisogno di qualche consiglio. Quali sono accorgimenti e precauzioni da prendere in questo ambito? ...

Saldi al via anche online - Ecco come evitare fregature e truffe sul web
Visto che è periodo di saldi, vorrei acquistare in sicurezza dei prodotti di abbigliamento online: ho ancora paura, però, che possano non arrivare a destinazione o che possa rimanere truffato perdendo soldi. Quali sono le dritte da seguire in questi casi? ...

Truffe su internet? - Attenzione: anche Aruba nel mirino
Gestisco un dominio sul web per hobby, e pago regolarmente i servizi ad Aruba: qualche giorno fa mi è arrivata una strana e-mail dove mi si richiedeva di regolarizzare il pagamento. Mi sono insospettito perché avevo saldato proprio un mesetto prima. Si tratta di una truffa, vero? ...

Dove mi trovo?

Ti trovi nel Forum – Tutela del consumatore e risarcimento danni a persone e cose del sito la comunità dei debitori e dei consumatori italiani e stai leggendo il topic Privacy e sicurezza per evitare truffe – Come utilizzare al meglio l’autenticazione a due fattori