Tre ricercatori dell’Università del Salento hanno dimostrato che c’è un tipo di attacco che può aggirare anche l’autenticazione a due fattori.
Oggi l’autenticazione a due fattori, nota anche come 2FA, è il metodo più sicuro per proteggere i propri account, dunque i propri dati. Si tratta di uno strumento che i big della tecnologia consigliano di utilizzare, poiché un hacker può “facilmente” scoprire le credenziali ma non quel codice che viene inviato ad un secondo dispositivo via SMS, email o vie simili al momento della richiesta d’accesso ad un servizio. Ma siamo davvero al sicuro?
Le certezze, purtroppo, iniziano pericolosamente a vacillare. Tre ricercatori dell’Università del Salento hanno infatti creato un tipo di attacco informatico che può mettere in ginocchio l’autenticazione a due fattori. E il problema, come sottolinea Repubblica, è che nonostante siano stati avvisati Google, Apple e altri colossi del settore, la “creazione” di Franco Tommasi, Christian Catalano e Ivan Taurino continua a funzionare come se nulla fosse. Ed è passato ormai un anno dalla sua dimostrazione scientifica.
© UnsplashMa come funziona questo tipo di attacco? Il nome, ovvero “Browser-in-the-Middle (BitM) attack”, fornisce qualche indizio. Partiamo subito con il dire che non si tratta del solito phishing, pratica molto nota per il furto delle credenziali del malcapitato. In questo caso l’utente viene condotto sul sito autentico, ma nel mezzo – quindi tra lui e il sito – c’è l’hacker, il quale sia adopera affinché nel browser della vittima si vada a posizionare un browser intermediario, senza ovviamente destare alcun sospetto. Una trappola perfetta, dunque.
Così il professor Tommasi spiega il funzionamento del BitM Attack:
Alla base del metodo c’è lo stesso protocollo usato per controllare lo schermo di un computer remoto. Nel nostro caso la vittima visualizza lo schermo dell’attaccante, un browser web a tutto schermo che sta in realtà sta ‘visitando’ il sito autentico. La vittima così interagisce con il computer dell’attaccante senza rendersene conto, credendo di stare visitando il sito autentico.
E dunque, che si fa? Ancora Tommasi:
Purtroppo si tratta di un attacco difficile da bloccare e l’unica contromisura efficace è prevenire il phishing ma per quanto ci si sforzi ci sarà sempre qualcuno che ci casca.
English (US)