Phishing su account protetti da autenticazione a due fattori Una tecnica di ingegneria social permette di rubare l'account (ad esempio Gmail) a qualsiasi utente

<span class="entry-title-primary">Phishing su account protetti da autenticazione a due fattori</span> <span class="entry-subtitle">Una tecnica di ingegneria social permette di rubare l'account (ad esempio Gmail) a qualsiasi utente</span>

L’autenticazione a due fattori (o verifica in due passaggi) è un meccanismo di sicurezza informatica che permette, tipicamente grazie ad un codice univoco e temporaneo inviato sul cellulare, di confermare di essere autorizzati a procedere al login. La verifica a due passaggi, ad esempio, viene da tempo adottata da Google per proteggere gli account da attacchi informatico e da eventuali furti di password.

Ma è proprio il meccanismo di fondo ad essere abusabile, come vedremo, nonostante – e ci mancherebbe altro – l’autenticazione a due fattori rimanga un baluardo della sicurezza informatica per proteggere il proprio account da abusi.

Leggi anche: autenticazione a due fattori su account Linkedin

Waqas Amir su Hackread ha segnalato infatti una notevole eccezione a questo meccanismo: un malintenzionato potrebbe emulare il processo di autenticazione e richiedere, mediante SMS truffa, la password di accesso che è stata appena inviata all’utente. In altri termini, basta che egli conosca l’indirizzo email ed il numero di telefono associato all’account della vittima perchè possa richiedere un ripristino della password ad hoc. Fatto questo, alla vittima arriverà il solito messaggio con la richiesta del codice dell’autenticazione a due fattori, ma sarà ricevuto anche un secondo SMS “spia” in cui si allarma l’utente e lo si invita, “per ragioni di sicurezza” e simili, a rispondere al messaggio con il codice di autenticazione appena ricevuto. Questo è un modo per cedere volontariamente l’accesso del proprio account Gmail (o qualsiasi altro richieda l’autenticazione a due fattori) al malintenzionato, che potrà quindi modificare la password di accesso a piacere bloccando futuri accessi alla mail della vittima.

Un utente particolarmente distratto o in circostanze particolari potrebbe, quindi, tranquillamente subire un attacco del genere, che smonta il mito dell’infallibilità dell’autenticazione a due fattori, ed invita sempre a fare massima attenzione, qualsiasi operazione si compia con uno smartphone o un computer. L’ingegneria sociale si basa infatti su un semplice assunto: conquistando la fiducia incondizionata dell’utente è possibile aggirare praticamente qualsiasi meccanismo di sicurezza, anche il più avanzato e sicuro.

Leggi anche: autenticazione a due fattori in WordPress

Questo genere di attacco è rischioso, infine, perchè  potrebbe essere utilizzato anche per accedere ad account sensibili che usano la verifica in due passaggi, teoricamente anche account della propria banca.

 

Photo by woodleywonderworks

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.