Cosa accadrebbe se l’autenticazione a due fattori non fosse così sicura come pensiamo? Fino a ieri la possibilità di usare un altro pin, ottenere ricevute via app o sms ci sembrava il modo migliore per proteggere la nostra vita online, ma adesso le nostre certezze vacillano.
Tre esperti del settore: Franco Tommasi, professore associato di Elaborazione delle Informazioni presso il Dipartimento di Ingegneria dell’Innovazione dell’Università del Salento, coautore di uno standard Internet, insieme a Christian Catalano e Ivan Taurino, hanno messo a punto un tipo di attacco informatico che permette di bypassare l’autenticazione a due fattori (2FA). Questa notizia adesso preoccupa anche gli esperti di cybersecurity fuori dell’Accademia. Di fronte all’emergere massiccio della criminalità informatica che sfrutta largamente il furto delle credenziali per entrare nella vita delle vittime, la 2FAha rappresentato un grosso passo avanti dal punto di vista della sicurezza limitandone i rischi essendo capace di arginare anche i cosiddetti attacchi a “forza bruta”, ma la ricerca prodotta dai tre scienziati spiega come la sua efficacia sia drasticamente ridotta per gli utenti meno accorti e per gli hacker la cui capacità di utilizzo dei software è notevole.
Inoltre nonostante la comunicazione data dai ricercatori a Mozilla, Google e Apple, il metodo sfruttabile per l’attacco funziona ancora a distanza di quasi un anno dalla sua dimostrazione scientifica.
La descrizione degli effetti pratici dell’attacco è relativamente semplice. L’attacco è avviato con la tecnica del phishingma, a differenza di quanto accade di solito per questo tipo di attacchi, l’utente non è ridiretto a un sito fasullo che gli appare come quello che credeva di visitare, permettendo così agli attaccanti di impadronirsi delle credenziali, ma viene effettivamente condotto a visitare il sito autentico. Per tale motivo gli studiosi l’hanno chiamato “Browser-in-the-Middle (BitM) attack”. A quel punto il gioco è fatto.
Facciamo un esempio pratico: un utente riceve un messaggio che lo invita a visualizzare una comunicazione della sua banca. Se lui clicca sul link che gli viene fornito, visiterà un sito dell’attaccante che a sua volta andrà a visitare il sito della banca. La vittima introdurrà le credenziali, che l’attaccante leggerà, perché in realtà le ha fornite a lui, e le userà per entrare nel sito autentico. Il sito autentico invierà sul cellulare della vittima la richiesta di conferma che naturalmente la vittima fornirà. A questo punto il sito mostrerà all’attaccante ciò che avrebbe dovuto mostrare alla vittima. Se a questo punto la vittima vorrà avviare delle operazioni, per esempio un bonifico, l’attaccante potrà intercettare l’Iban del destinatario e modificarlo, insieme alla cifra da versare, inviando il versamento a un altro destinatario.
La ricerca è un’esclusiva del team, tuttavia con sorpresa nel febbraio 2022 si sono accorti, visitando alcuni siti dedicati alla sicurezza, che un hacker anonimo: mr.d0x, ha esposto il loro metodo, proclamandosene l’autore. Pur cercando garbatamente di fargli presente il suo errore via Twitter, lui ha risposto bloccando il loro account.
In seguito, purtroppo è successo quello che accade frequentemente sul web, dove tutti si appropriano di tutto. Il mondo della sicurezza che frequenta poco le riviste accademiche ha dato grande risonanza alla rivendicazione dell’hacker e solo in pochi hanno riconosciuto nei ricercatori italiani, sia pure tardivamente, i veri inventori dell’attacco.
Si tratta di un attacco difficile da bloccare e l’unica contromisura efficace è prevenire il phishing ma per quanto ci si sforzi ci sarà sempre qualcuno che ci casca.
Melania Depasquale
