Phishing su account protetti da autenticazione a due fattori


L’autenticazione a due fattori (o verifica in due passaggi) è un meccanismo di sicurezza informatica che permette, tipicamente grazie ad un codice univoco e temporaneo inviato sul cellulare, di confermare di essere autorizzati a procedere al login. La verifica a due passaggi, ad esempio, viene da tempo adottata da Google per proteggere gli account da attacchi informatico e da eventuali furti di password.

Ma è proprio il meccanismo di fondo ad essere abusabile, come vedremo, nonostante – e ci mancherebbe altro – l’autenticazione a due fattori rimanga un baluardo della sicurezza informatica per proteggere il proprio account da abusi.

Leggi anche: autenticazione a due fattori su account Linkedin

Waqas Amir su Hackread ha segnalato infatti una notevole eccezione a questo meccanismo: un malintenzionato potrebbe emulare il processo di autenticazione e richiedere, mediante SMS truffa, la password di accesso che è stata appena inviata all’utente. In altri termini, basta che egli conosca l’indirizzo email ed il numero di telefono associato all’account della vittima perchè possa richiedere un ripristino della password ad hoc. Fatto questo, alla vittima arriverà  il solito messaggio con la richiesta del codice dell’autenticazione a due fattori, ma sarà  ricevuto anche un secondo SMS “spia” in cui si allarma l’utente e lo si invita, “per ragioni di sicurezza” e simili, a rispondere al messaggio con il codice di autenticazione appena ricevuto. Questo è un modo per cedere volontariamente l’accesso del proprio account Gmail (o qualsiasi altro richieda l’autenticazione a due fattori) al malintenzionato, che potrà  quindi modificare la password di accesso a piacere bloccando futuri accessi alla mail della vittima.

Pubblicità – Continua a leggere sotto :-)

Un utente particolarmente distratto o in circostanze particolari potrebbe, quindi, tranquillamente subire un attacco del genere, che smonta il mito dell’infallibilità  dell’autenticazione a due fattori, ed invita sempre a fare massima attenzione, qualsiasi operazione si compia con uno smartphone o un computer. L’ingegneria sociale si basa infatti su un semplice assunto: conquistando la fiducia incondizionata dell’utente è possibile aggirare praticamente qualsiasi meccanismo di sicurezza, anche il più avanzato e sicuro.

Leggi anche: autenticazione a due fattori in WordPress

Questo genere di attacco è rischioso, infine, perchè  potrebbe essere utilizzato anche per accedere ad account sensibili che usano la verifica in due passaggi, teoricamente anche account della propria banca.

Pubblicità – Continua a leggere sotto :-)
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l’iscrizione

 

Photo by woodleywonderworks

Pubblicità – Continua a leggere sotto :-)
Sei un webmaster? Prova TheMoneytizer per il tuo sito
Cerchi alternative a Google Adsense per il tuo sito? Prova TheMoneytizer!
Usa il codice 189ed7ca010140fc2065b06e3802bcd5 per ricevere 5 € dopo l’iscrizione

👇 Da non perdere 👇



Questo sito esiste da 4630 giorni (13 anni), e contiene ad oggi 4346 articoli (circa 3.476.800 parole in tutto) e 22 servizi online gratuiti. – Leggi un altro articolo a caso
Numero di visualizzazioni (dal 21 agosto 2024): 0
Pubblicità – Continua a leggere sotto :-)
Segui il canale ufficiale Telegram @trovalost https://t.me/trovalost
Seguici su Telegram: @trovalost
Privacy e termini di servizio / Cookie - Il nostro network è composto da Lipercubo , Pagare.online e Trovalost
Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Questo sito contribuisce alla audience di sè stesso.