L’autenticazione a due fattori consente di elevare il livello di sicurezza per l’accesso alle risorse, ma ha alcuni punti deboli che potrebbero essere sfruttati per portare a termine attacchi mirati di tipo phishing: ecco come prendere alcune precauzioni al fine di mettere al sicuro i nostri dati riservati.
Anche il sistema dell’autenticazione a due fattori, ormai considerato uno standard di fatto per la definizione di accesso sicuro alle risorse, ha alcuni punti deboli che potrebbero essere utilizzati dai criminal hacker per portare a termine attacchi mirati di tipo phishing.
Ciò è possibile in quanto la convinzione di avere a che fare con un sistema sicuro può farci eseguire in modo automatico alcune operazioni senza prestare la dovuta attenzione, permettendo ad un malintenzionato di accedere in modo fraudolento ad aree riservate.
L’autenticazione a due fattori, lo ricordiamo, consente di rafforzare il meccanismo della password e, pur non essendo l’ottimo, è considerata ampiamente una best practice per proteggere account e dati.
L’ottimo sarebbe un’autenticazione a tre fattori:
- qualcosa che sai (ad esempio la password);
- qualcosa che hai (token, telefono);
- qualcosa che sei (dato biometrico).
Tale sistema presenta però evidenti difficoltà soprattutto per quanto concerne l’identificazione e l’accesso su siti internet.
Da qui il fatto che l’autenticazione a due fattori, tipicamente rappresentata dal binomio password e token/OTP (One Time Password), stia sempre più prendendo piede.
La si trova infatti in applicazioni delicate (accesso a siti di internet banking, ad esempio) e sempre di più in applicazioni fino a poco tempo fa ritenute non critiche, come la posta elettronica o i profili dei social network.
Il sistema è decisamente più sicuro del solo utilizzo della password che si è dimostrato ampiamente violabile o aggirabile.
Il fatto di adottare una best practice non ci mette però al sicuro del tutto e paradossalmente potrebbe portare ad un abbassamento della percezione del rischio.
L’articolo “When Best Practice Isn’t Good Enough: Large Campaigns of Phishing Attacks in Middle East and North Africa Target Privacy-Conscious Users” pubblicato sul sito di Amnesty International mostra come sia semplice sfruttare il falso senso di sicurezza di utenti, comunque preparati, per aggirare il sistema di accesso a due fattori.
L’articolo riporta che è stata osservata una massiccia campagna di phishing, con obiettivi Medio Oriente e Nord Africa, congegnata per aggirare il sistema di autenticazione a due fattori.
Il sistema implementato è complesso e ha come obiettivo utenti che hanno comunque una minima percezione delle misure da adottare per rendere sicuro il proprio account.
Gli attaccanti hanno innanzitutto acquisito dei siti con un dominio praticamente identico a quello originale (in un caso hanno cambiato solamente il dominio di primo livello) e hanno costruito, come d’abitudine in questi casi, un sito identico.
L’acquisto del dominio ha permesso loro di installare un certificato SSL valido in modo da fornire un ulteriore elemento di rassicurazione.
L’attacco è poi avvenuto inviando e-mail di attenzione per l’account violato con la richiesta di cambio della password.
L’utente cliccando sul link accedeva al sito fasullo e immetteva le credenziali.
Queste venivano automaticamente girate al sito originale che provvedeva o alla richiesta del codice token o all’invio al telefono della vittima dell’OTP.
Il sistema provvedeva a inoltrare l’OTP al sito originale e contemporaneamente forniva all’attaccante l’accesso alle informazioni riservate dell’utente.
Lo stesso tipo di attacco è stato portato anche su account Google e Yahoo.
In questo caso è stato effettuato un lavoro preparatorio di social engineering che prevedeva la condivisione e collaborazione su documenti in Google Docs al fine di carpire la fiducia dell’utente.
Un attacco come questo è sicuramente non banale.
L’attaccante ha scelto con cura il bersaglio e ha preparato l’infrastruttura in modo tale da rendere minimi i sospetti da parte dell’attaccato.
L’infrastruttura è complessa e prevede la possibilità di registrare e utilizzare dati che spesso hanno un tempo di vita non superiore ai 30 secondi.
La registrazione del sito con nome molto simile, l’uso del certificato SSL e la possibilità di combinare tecniche di phishing e social engineering denotano un livello di preparazione e interesse decisamente elevato.
L’acceso alle informazioni è però sostanzialmente limitato alla singola sessione autenticata, a seconda dei meccanismi di protezione dei siti ma non per questo meno pericoloso.
Pur nella sua complessità, l’attacco rivela l‘esistenza di possibili workaround a uno schema che di fatto è diventato sinonimo di autenticazione sicura.
Il fatto che l’attacco abbia avuto successo non significa però che lo schema di autenticazione a due fattori non sia valido o sia da abbandonare.
Certamente il suo livello di sicurezza è incomparabile rispetto al solo utilizzo della password, come ampiamente dimostrato.
Penso che però sia molto importante valutare come l’elemento abitudine e il senso di sicurezza umano siano sempre elementi cruciali.
Gli utenti vittima di questo attacco, come ho già ribadito, sono persone che hanno consapevolezza dei rischi e hanno deciso di affidarsi a sistemi più sicuri di autenticazione.
Presumibilmente sono anche preparati al riconoscimento di sistemi semplici di phishing e hanno conoscenza dell’importanza della comunicazione su un canale cifrato attraverso il protocollo HTTPS.
Ciononostante, il controllo superficiale e il falso senso di sicurezza dato, appunto, dal fatto di essere in un ambiente “sicuro” li ha indotti a non controllare con attenzione il processo di accesso.
E’ sempre importante sottolineare che i soli elementi tecnici di difesa e sicurezza non siano sufficienti a garantire la stessa.
Anche sistemi di autenticazione ritenuti sicuri, a ragione, possono avere dei punti deboli che possono essere sfruttati per bypassare il sistema stesso.
È necessario che anche gli utenti più consapevoli non abbassino la guardia pensando che il sistema tecnico li metta al riparo da ogni rischio e continuino ad applicare attenzione e controllo per evitare di rimanere vittima di attacchi nuovi e raffinati.
11 Aprile 2019 · Gennaro Andele
