Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Aggirare l’autenticazione a due fattori con un reverse proxy

Proteggere i propri account dai furti di credenziali (username e password) non è mai uno scherzo. In genere l’autenticazione a due fattori viene considerata massimamente sicura e consigliata, quale standard de facto, dalla maggioranza degli applicativi seri che usiamo ogni giorno: anche Facebook e Instagram l’hanno standardizzata.

Le eccezioni e le potenziali falle informatiche sono poche, per fortuna: se viene usata con gli SMS, ad esempio, anzichè con l’app di autenticazione (Google Authenticator, ad esempio) alcuni operatori telefonici usano un protocollo potenzialmente attaccabile dall’esterno (gli SMS possono essere intercettati dall’esterno). Ma è anche possibile che il sistema subisca un attacco del tipo man in the middle, in cui un’entità software si frappone nella comunicazione fingendosi una parte lecita, operando così il più classico e raffinato dei phishing. L’utente deve utilizzare lo stesso l’autenticazione a due fattori, ovviamente, ma deve anche sapere che possono esistere casi reali in cui tale blocco di sicurezza può essere aggirato a nostra insaputa.


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui) - Puoi anche usare il coupon sconto esclusivo 7NSS5HAGD5UC2 per spendere di meno ;-)

evilnginx è un software open source proviente da GitHub (link), e viene utilizzato in questa sede a scopo dimostrativo per mostrare una falla che molti malware potrebbero sfruttare. Di per sè si tratta di un particolare reverse proxy, utilizzato per proteggere il server dal traffico in ingresso eventualmente malevolo, anche se nell’accezione specifica viene sfruttato per creare portali di phishing. Ovviamente si tratta di una soluzione open che va sfruttata responsabilmente, per cui è necessario consenso scritto da parte di utenti che si prestino ad essere usati come account di prova e che viene pubblicato con licenza BSD-3, può essere facilmente utilizzato per scopi anche non leciti, per cui è bene specificare che l’utilizzo è sotto la propria responsabilità.

evilginx2 logo 512
Logo di evilnginx, tratto da GitHub

Può sorprendere che un software del genere circoli liberamente, ma c’è una ragione dietro: il motivo per cui viene pubblicata open source non dovrebbe meravigliare più di tanto, in effetti, dato che software del genere viene prodotto in grandi quantità e comunque diffuso nel dark web. Se non fosse disponibile in repository aperti al pubblico (peraltro gratis) non sarebbe possibile indagare e tutelarsi da questi rischi, e quel software circolerebbe comunque nei canali occulti, senza poter disporre di alcuno strumento per potersi tutelare.

Chiarito questo il funzionamento di evilnginx può essere testato su un qualsiasi account, come per esempio quello di Microsoft 365, i cui controlli di autenticazione a due fattori vengono aggirati sfruttando questo reverse proxy malevolo, con modalità spiegate ad esempio dallo youtuber John Hammond qui sopra.

Nello specifico l’attacco di tipo Man-in-the-middle è particolarmente insidioso, perché l’utente non si accorge di avere “qualcuno in ascolto” mentre sta accedendo all’indirizzo corretto (microsoft.com, facebook.com e così via). Non si tratta quindi di una manipolazione con URL dal nome simile o ingannevole, si tratta del fatto che le operazioni che si effettuano in fase di immissione di username e password vengono costantemente monitorate da evilnginx.

Senza scendere in troppi dettagli tecnici, il software malevolo viene configurato inizialmente su un dominio, per poter produrre dei lure, ovvero dei link ingannevoli che poi sono tipicamente usati in questi casi. Il software procede successivamente ad una identificazione dei parametri di ingresso che vengono inseriti dall’utente, tra cui i cookie di sessione che poi costituiranno parte del fingerprint dell’utente vittima. Al momento dell’autenticazione a due fattori, comparirà in chiaro il codice che viene utilizzato dall’utente per l’accesso, e a quel punto il furto dell’account sarà perpetrato.

Trovalost.it riporta le informazioni in modo responsabile non approva nè intende incoraggiare operazioni non lecite con software malevoli, e ricorda che è reato introdursi in sistemi ed account altrui senza autorizzazione.

👇 Da non perdere 👇



Questo sito web esiste da 4522 giorni (12 anni), e contiene ad oggi 4039 articoli (circa 3.231.200 parole in tutto) e 16 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo - Pagare online (il blog) - Trovalost.it