Phishing su account protetti da autenticazione a due fattori

Aggiornato il: 20-02-2020 22:59
L’autenticazione a due fattori (o verifica in due passaggi) è un meccanismo di sicurezza informatica che permette, tipicamente grazie ad un codice univoco e temporaneo inviato sul cellulare, di confermare di essere autorizzati a procedere al login. La verifica a due passaggi, ad esempio, viene da tempo adottata da Google per proteggere gli account da attacchi informatico e da eventuali furti di password.

Ma è proprio il meccanismo di fondo ad essere abusabile, come vedremo, nonostante – e ci mancherebbe altro – l’autenticazione a due fattori rimanga un baluardo della sicurezza informatica per proteggere il proprio account da abusi.

Leggi anche: autenticazione a due fattori su account Linkedin

Waqas Amir su Hackread ha segnalato infatti una notevole eccezione a questo meccanismo: un malintenzionato potrebbe emulare il processo di autenticazione e richiedere, mediante SMS truffa, la password di accesso che è stata appena inviata all’utente. In altri termini, basta che egli conosca l’indirizzo email ed il numero di telefono associato all’account della vittima perchè possa richiedere un ripristino della password ad hoc. Fatto questo, alla vittima arriverà  il solito messaggio con la richiesta del codice dell’autenticazione a due fattori, ma sarà  ricevuto anche un secondo SMS “spia” in cui si allarma l’utente e lo si invita, “per ragioni di sicurezza” e simili, a rispondere al messaggio con il codice di autenticazione appena ricevuto. Questo è un modo per cedere volontariamente l’accesso del proprio account Gmail (o qualsiasi altro richieda l’autenticazione a due fattori) al malintenzionato, che potrà  quindi modificare la password di accesso a piacere bloccando futuri accessi alla mail della vittima.

SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919

Un utente particolarmente distratto o in circostanze particolari potrebbe, quindi, tranquillamente subire un attacco del genere, che smonta il mito dell’infallibilità  dell’autenticazione a due fattori, ed invita sempre a fare massima attenzione, qualsiasi operazione si compia con uno smartphone o un computer. L’ingegneria sociale si basa infatti su un semplice assunto: conquistando la fiducia incondizionata dell’utente è possibile aggirare praticamente qualsiasi meccanismo di sicurezza, anche il più avanzato e sicuro.

Leggi anche: autenticazione a due fattori in WordPress

Questo genere di attacco è rischioso, infine, perchè  potrebbe essere utilizzato anche per accedere ad account sensibili che usano la verifica in due passaggi, teoricamente anche account della propria banca.

 

Photo by woodleywonderworks



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti piace questo articolo? Vota e fammelo sapere.

Phishing su account protetti da autenticazione a due fattori
SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919
4612188594 79313b221f phishing
Torna su