L'autenticazione a 2 fattori può essere bypassata, e per ora non c'è soluzione

Alessandro Nodari
Alessandro Nodari
L'autenticazione a 2 fattori può essere bypassata, e per ora non c'è soluzione

Un mese fa abbiamo riportato la notizia di una nuova tecnica di phishing che permetteva ad un malintenzionato di appropriarsi delle credenziali di accesso di un utente inconsapevole. Questo avviene utilizzando un sito web fasullo "sopra" il sito web autentico e la tecnica, chiamata browser-in-the-browser (BitB), era proposta da un "esperto di sicurezza" di nome mr.d0x

Ieri la Repubblica ha riportato come tale mr.d0x si sia in realtà appropriato della scoperta di un gruppo di ricercatori italiani, Franco Tommasi, Christian Catalano e Ivan Taurino, che avevano effettuato la scoperta ben prima, chiamandola browser-in-the-middle (BitM).

Il concetto è ovviamente lo stesso e sfrutta il fatto che un utente clicchi su un link ricevuto via SMS o email, il che lo rimanda al sito autentico (il sito di una banca, per esempio), con però, frapposta, una finestra di autenticazione che rimanderà al computer dell'attaccante.

In questo modo l'aggressore potrà accedere da remoto alle informazioni che la vittima immetterà.

La cosa più preoccupante è che quando la vittima riceverà la richiesta di conferma tramite autenticazione a due fattori (2FA), darà il consenso di fatto garantendo l'accesso anche all'aggressore, che potrà seguire tutte le operazioni allo stesso modo come si opera normalmente per controllare lo schermo di un computer da remoto. Se per esempio la vittima poi effettuerà un bonifico, il malintenzionato potrà cambiare l'Iban, la cifra da versare, o comunque effettuare tutte le operazioni che preferisce. 

I tre ricercatori avevano già avvisato l'anno scorso i principali sviluppatori di browser come Google, Apple e Microsoft, ma al momento non ci sono soluzioni all'attacco, che funziona tutt'ora. Quando poi hanno visto il post di mr.d0x, che intanto ha raggiunto la fama grazie al suo plagio, i ricercatori lo hanno contattato per fargli gentilmente notare di aver copiato la loro ricerca, ma non hanno ricevuto risposta.

Ora piano piano la verità sta venendo a galla, ma il punto è, come dice il professor Tommasi, a capo del team, che "Purtroppo si tratta di un attacco difficile da bloccare e l'unica contromisura efficace è prevenire il phishing ma per quanto ci si sforzi ci sarà sempre qualcuno che ci casca".

Non possiamo che consigliarvi di non cliccare mai su link ricevuti via SMS o email e in ogni caso vi rimandiamo all'articolo originale, che è veramente una lettura illuminante