L’autenticazione a due fattori (o verifica in due passaggi) è un meccanismo di sicurezza informatica che permette, tipicamente grazie ad un codice univoco e temporaneo inviato sul cellulare, di confermare di essere autorizzati a procedere al login. La verifica a due passaggi, ad esempio, viene da tempo adottata da Google per proteggere gli account da attacchi informatico e da eventuali furti di password.
Ma è proprio il meccanismo di fondo ad essere abusabile, come vedremo, nonostante – e ci mancherebbe altro – l’autenticazione a due fattori rimanga un baluardo della sicurezza informatica per proteggere il proprio account da abusi.
Leggi anche: autenticazione a due fattori su account Linkedin
Waqas Amir su Hackread ha segnalato infatti una notevole eccezione a questo meccanismo: un malintenzionato potrebbe emulare il processo di autenticazione e richiedere, mediante SMS truffa, la password di accesso che è stata appena inviata all’utente. In altri termini, basta che egli conosca l’indirizzo email ed il numero di telefono associato all’account della vittima perchè possa richiedere un ripristino della password ad hoc. Fatto questo, alla vittima arriverà il solito messaggio con la richiesta del codice dell’autenticazione a due fattori, ma sarà ricevuto anche un secondo SMS “spia” in cui si allarma l’utente e lo si invita, “per ragioni di sicurezza” e simili, a rispondere al messaggio con il codice di autenticazione appena ricevuto. Questo è un modo per cedere volontariamente l’accesso del proprio account Gmail (o qualsiasi altro richieda l’autenticazione a due fattori) al malintenzionato, che potrà quindi modificare la password di accesso a piacere bloccando futuri accessi alla mail della vittima.
Un utente particolarmente distratto o in circostanze particolari potrebbe, quindi, tranquillamente subire un attacco del genere, che smonta il mito dell’infallibilità dell’autenticazione a due fattori, ed invita sempre a fare massima attenzione, qualsiasi operazione si compia con uno smartphone o un computer. L’ingegneria sociale si basa infatti su un semplice assunto: conquistando la fiducia incondizionata dell’utente è possibile aggirare praticamente qualsiasi meccanismo di sicurezza, anche il più avanzato e sicuro.
Leggi anche: autenticazione a due fattori in WordPress
Questo genere di attacco è rischioso, infine, perchè potrebbe essere utilizzato anche per accedere ad account sensibili che usano la verifica in due passaggi, teoricamente anche account della propria banca.
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🔴 Come stampare dal cellulare (guida)
- 🔵 EPG, cosa sono e come funzionano [Guida]
- 🟠 Che cos’è una prefazione
