Aggirare l’autenticazione a due fattori con un reverse proxy


Proteggere i propri account dai furti di credenziali (username e password) non è mai uno scherzo. In genere l’autenticazione a due fattori viene considerata massimamente sicura e consigliata, quale standard de facto, dalla maggioranza degli applicativi seri che usiamo ogni giorno: anche Facebook e Instagram l’hanno standardizzata.

Le eccezioni e le potenziali falle informatiche sono poche, per fortuna: se viene usata con gli SMS, ad esempio, anzichè con l’app di autenticazione (Google Authenticator, ad esempio) alcuni operatori telefonici usano un protocollo potenzialmente attaccabile dall’esterno (gli SMS possono essere intercettati dall’esterno). Ma è anche possibile che il sistema subisca un attacco del tipo man in the middle, in cui un’entità software si frappone nella comunicazione fingendosi una parte lecita, operando così il più classico e raffinato dei phishing. L’utente deve utilizzare lo stesso l’autenticazione a due fattori, ovviamente, ma deve anche sapere che possono esistere casi reali in cui tale blocco di sicurezza può essere aggirato a nostra insaputa.

evilnginx è un software open source proviente da GitHub (link), e viene utilizzato in questa sede a scopo dimostrativo per mostrare una falla che molti malware potrebbero sfruttare. Di per sè si tratta di un particolare reverse proxy, utilizzato per proteggere il server dal traffico in ingresso eventualmente malevolo, anche se nell’accezione specifica viene sfruttato per creare portali di phishing. Ovviamente si tratta di una soluzione open che va sfruttata responsabilmente, per cui è necessario consenso scritto da parte di utenti che si prestino ad essere usati come account di prova e che viene pubblicato con licenza BSD-3, può essere facilmente utilizzato per scopi anche non leciti, per cui è bene specificare che l’utilizzo è sotto la propria responsabilità.

Pubblicità – Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l’iscrizione

Logo di evilnginx, tratto da GitHub

Può sorprendere che un software del genere circoli liberamente, ma c’è una ragione dietro: il motivo per cui viene pubblicata open source non dovrebbe meravigliare più di tanto, in effetti, dato che software del genere viene prodotto in grandi quantità e comunque diffuso nel dark web. Se non fosse disponibile in repository aperti al pubblico (peraltro gratis) non sarebbe possibile indagare e tutelarsi da questi rischi, e quel software circolerebbe comunque nei canali occulti, senza poter disporre di alcuno strumento per potersi tutelare.

Chiarito questo il funzionamento di evilnginx può essere testato su un qualsiasi account, come per esempio quello di Microsoft 365, i cui controlli di autenticazione a due fattori vengono aggirati sfruttando questo reverse proxy malevolo, con modalità spiegate ad esempio dallo youtuber John Hammond qui sopra.

Pubblicità – Continua a leggere sotto :-)

(Tophost) l’ hosting web più economico – Usa il coupon sconto: 7NSS5HAGD5UC2

Nello specifico l’attacco di tipo Man-in-the-middle è particolarmente insidioso, perché l’utente non si accorge di avere “qualcuno in ascolto” mentre sta accedendo all’indirizzo corretto (microsoft.com, facebook.com e così via). Non si tratta quindi di una manipolazione con URL dal nome simile o ingannevole, si tratta del fatto che le operazioni che si effettuano in fase di immissione di username e password vengono costantemente monitorate da evilnginx.

Senza scendere in troppi dettagli tecnici, il software malevolo viene configurato inizialmente su un dominio, per poter produrre dei lure, ovvero dei link ingannevoli che poi sono tipicamente usati in questi casi. Il software procede successivamente ad una identificazione dei parametri di ingresso che vengono inseriti dall’utente, tra cui i cookie di sessione che poi costituiranno parte del fingerprint dell’utente vittima. Al momento dell’autenticazione a due fattori, comparirà in chiaro il codice che viene utilizzato dall’utente per l’accesso, e a quel punto il furto dell’account sarà perpetrato.

Pubblicità – Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l’iscrizione

Trovalost.it riporta le informazioni in modo responsabile non approva nè intende incoraggiare operazioni non lecite con software malevoli, e ricorda che è reato introdursi in sistemi ed account altrui senza autorizzazione.

Pubblicità – Continua a leggere sotto :-)

👇 Da non perdere 👇



Trovalost.it esiste da 4636 giorni (13 anni), e contiene ad oggi 4348 articoli (circa 3.478.400 parole in tutto) e 22 servizi online gratuiti. – Leggi un altro articolo a caso
Numero di visualizzazioni (dal 21 agosto 2024): 0
Pubblicità – Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.