25 Gennaio 2022
L'autenticazione a due fattori (anche nota come 2FA, 2 factor autenthication) è un passaggio cui ormai siamo abituati per effettuare molte operazioni: dalla fine del 2020 in Europa è obbligatoria per tutte le transazione online, ma in generale è un meccanismo a tutela di molti aspetti della nostra vita digitale. La ragione dietro alla sua sempre più diffusa adozione all'interno del panorama tech sta ovviamente nel grado di sicurezza che è in grado di garantire, richiedendo l'utilizzo congiunto di due differenti metodi di autenticazione individuali (un ID, una One Time Password, un codice ricevuto via mail, via SMS o via app). Ed è proprio la sicurezza di questo sistema che ora comincia a scricchiolare pericolosamente.
A sollevare la questione sono stati tre ricercatori italiani dell'Università del Salento: Franco Tommasi, Christian Catalano e Ivan Taurino. Gli studiosi infatti sono stati in grado di elaborare un sistema capace di bucare l'autenticazione a due fattori: la tattica è stata battezzata BitM - Browser-in-the-Middle-attack - e somiglia al classico phishing nelle sue modalità, ma con una differenza fondamentale.
BITM: COS'È E COME FUNZIONA L'ATTACCO CHE BUCA LA 2FA
Gli attacchi BitM hanno in comune i primi passaggi col phishing tradizionale: tutto sta nell'entrare in contatto con la vittima e spingerla ad aprire un link (ad esempio tramite una mail in cui ci si finge istituti bancari). Ma se normalmente lo scopo del phishing è quello di ottenere i dati sensibili degli utenti conducendoli su un sito falso e spingendoli ad inserire le proprie credenziali, consegnandole così al'hacker, il BitM invece porta l'utente davanti al sito vero. Ed è per questo che può rivelarsi ancora più pericoloso, dal momento che le vittime hanno ancora meno occasioni e indizi per accorgersi che qualcosa non torna.
Sostanzialmente i tre studiosi italiani hanno provato che esiste la possibilità per i criminali informatici di inserirsi nelle comunicazioni tra l'utente e il sito facendogli visualizzare all'interno del browser un altro browser che ha il ruolo di intermediario: così si spiega la sigla scelta per definire questo tipo di tecnica, Browser-in-the-Middle-attack, ovvero un attacco che sfrutta un browser mediano.
Il professor Franco Tommasi ha così illustrato il metodo in una dichiarazione rilasciata a La Repubblica:
Alla base del metodo c'è lo stesso protocollo usato per controllare lo schermo di un computer remoto. Nel nostro caso la vittima visualizza lo schermo dell’attaccante, un browser web a tutto schermo che sta in realtà sta ‘visitando’ il sito autentico. La vittima così interagisce con il computer dell’attaccante senza rendersene conto, credendo di star visitando il sito autentico.
L'ALLARME LANCIATO GIÀ UN ANNO FA: COME DIFENDERSI
L'articolo firmato da Tommasi, Catalano e Taurino che descrive la problematica è apparso sulla rivista International Journal of Information Security già un anno fa, il 17 aprile 2021. I ricercatori, prima di pubblicarlo, hanno scelto di allertare per misura prudenziale giganti tech come Google, Apple e Mozilla. Ma dopo tutto questo tempo i presupposti perché l'attacco possa funzionare restano ancora intatti, e non c'è al momento una soluzione a questa debolezza.
A dimostrarlo è l'attacco dell'hacker mr.d0x che ha testato l'efficacia del metodo BitM il 23 febbraio, a ben 11 mesi di distanza dall'allarme lanciato dall'equipe italiana, cui ha anche provato a rubare la paternità della scoperta rivendicandola su Twitter e bloccando poi gli account degli studiosi che erano intervenuti per sbugiardarlo.
Attualmente, quindi, la migliore (e unica) difesa possibile resta sempre l'attenzione e la prudenza: perché gli hacker abbiano successo occorre sempre che l'utente prima caschi nella trappola del phishing. Senza questa premessa, nessun attacco è possibile: e tuttavia, per quanto la maggior parte degli utenti riescano ad evitarlo, c'è sempre qualcuno che per inesperienza o per distrazione ci casca.
Commenti
strano, dillo a tutti quelli che mandano le email di pishing che hanno sempre mittenti con nomi e domini improbabili
Il mittente nelle email lo cambi in mezzo secondo tramite telnet
tu riesci a visualizzare il mio schermo solo con un link o ti serve un programma tipo teamviewer per farlo? Se non hanno fatto qualche magia e se l'articolo è scritto bene ad un certo punto dovresti ricevere qualche richiesta strana. Oltre ovviamente come già detto alla dabbenaggine di aver abboccato a cliccarci come dicevo prima
Cit. https://uploads.disquscdn.c...
Peccato però che l'abc della lotta al pishing è che nessuno ti chiede per email o per sms o in qualunque altro modo di rieffettuare l'accesso a un tuo servizio e di non cliccare mai su nessun link. Inoltre è facilmente sgamabile il mittente. Infine, per poter vedere il tuo schermo, in qualche momento dovrai accettare l'installazione di qualche tool.
Difatti non c'entra una beata il protocollo rdp
Beh, in questo caso diventa davvero difficile scoprire la truffa dato che il link del sito è giusto
Contro la coionaggine di alcuni utenti non credo si possa fare granché. Arriverebbero anche a telefonare e dettare i propri dati al telefono seguendo le istruzioni passo passo se ci fosse un numero invece di un link.
Esatto, ti fanno vedere da remoto un qualsiasi sito e tu sei convinto di essere tranquillo...invece....
Titolo: "L'acqua uccide: la pazzesca scoperta di due ricercatori del Sud Dakota".
Articolo: "I due ricercatori hanno scoperto che se un essere umano fa tre capriole, 19 giri in tondo, assume dei sedativi e viene lasciato al centro preciso dell'oceano pacifico, muore affogato. L'acqua, pertanto, uccide gli esseri umani.
Come difendersi? Beh, come sempre ci vuole attenzione e prudenza, e mai accettare le caramelle dagli sconosciuti."
HDClickBait
beh ok, però cosi si può bucare di tutto, alla fine è appunto l'utente che và ad inserire tutti i suoi dati
Basta controllare l’indirizzo della mail che abbiamo ricevuto ed eventualmente il link che porta all’ autenticazione
Ma cosa strac_az_z0 centra la 2fa con un phishing?
È l’utente che mette di sua spontanea volontà tutti i dati, che poi sia sul pc di un altro con un banale rdp questo è un altro discorso
Elliot Alderson ha usato un sistema diverso.
Io l'ho capita in modo diverso.
Non ti si apre una finestra a tutto scherno, è l'attaccante ad avere il browser in full screen sul suo pc.
Il link che tu apri è quello di una pagina creata dell'attaccante in cui vedi il suo schermo e puoi controllare da remoto.
Dato che lui ha il browser in full screen, tu vedi solo la pagina che lui ha aperto nel suo browser.Niente barre.
L'indizio che devi notare è l'indirizzo del link, che vedi anche nella barra del tuo browser, che ovviamente non è quello della tua banca ma quello della pagina creata dell'attaccante.
Ma infatti è roba che non succede mai. È più probabile che diano direttamente un tablet con app della banca fake
vogliamo più fattori! :D https://uploads.disquscdn.c...
L'attaccante può aprire il suo browser a tutto schermo senza UI, ovviamente una persona un minimo competente si accorge che qualcosa non va, come per ogni attacco di questo tipo...
Su hdblock ormai imprescindibile.
Se non fai contenuti di valore non meriti di guadagnarci.
questa parte non mi è chiara. Se io sto navigando con firefox ad esempio e clicco sul link che mi apre una finestra a tutto schermo con il browser dell'attaccante, si apre lo stesso browser che sto usando? Cioè se come ho detto sto usando firefox e mi vedo aprire una finestra di chrome a tutto schermo, la cosa non è dubbia? Stessa cosa se sto navigando con edge e mi vedessi aprire una finestra di firefox... oppure l'attaccante riconosce il tipo di browser che sto usando e mi apre di conseguenza una finestra a tutto schermo del MIO STESSO browser? E poi ancora, se ho estensioni, temi personalizzati e me ne vedo aprire uno diverso, magari con un tema di default, non mi accorgerei della differenza? Oppure la cosa si basa sulla sbadataggine totale dell'utente che sta navigando?
Anche oggi, uBlock Origin ha fatto il suo dovere.
Ora hai la vera disinformazione
Probabilmente anche senza rinominarlo, basterebbe mandare il link di KeyLogger - L'app che ti fa vincere buoni amazon in base a quanto digiti
Infatti penso che manco un cieco ci cascherebbe, ma veramente, è impossibile non notare una roba del genere.
E quando glielo diamo il Nobel a questi ricercatori? Io direi che se lo meritano, ma allo stesso tempo chi ha scritto questo articolo merita il Pulitzer, si, il premio Pulitzer per il clickbait.
Ho letto un po' di questo “Browser-in-the-Middle (BitM) attack”, ma è veramente difficile che accada o che qualcuno non se accorga per tempo. E' come se una persona si mettesse nel mezzo, parlano di "L'hacker potrebbe cambiare l'IBAN del bonifico", ma è veramente complesso da portare a termine come attacco, espone molto e c'è bisogno di una persona in carne ed ossa.
state cadendo in basso: mi manca la vera informazione che hdblog una volta offriva.
E anche oggi, clickbait a manetta.
Non è stato bucato nessun protocollo che tiene in piedi i vari sistemi di 2FA.
Nel caso uno subisse questo attacco non si percepirebbe qualche stranezza comunque? Del tipo un delay nella navigazione, magari qualche problema con la risoluzione, differenze nella barra dei preferiti o comunque uno "stile" grafico diverso del browser, non so...Certo sarebbero cose non banali da notare per la classica vittima di phishing.
Titoli clickbait e dove trovarli...
La chiave è evitare il primo livello di hacking sociale.
Vabbe ma ormai anche un semplice keylogger.apk rinominato in tiktokpro o xvideos.apk te lo aprirebbero in molti.