Un sistema che utilizza l’autenticazione a due fattori (2FA) ti permette di confermare la tua identità con due canali diversi prima di permetterti di entrare nell’account di un qualunque servizio online.
Di solito, tutto ciò si traduce nell’inserire una combinazione di e-mail (o username) e password, a cui si aggiunge un codice ricevuto via SMS o posta elettronica. Solo dopo aver inserito correttamente tutte le credenziali, potrai accedere al servizio in questione.
È un procedimento semplice, ma incredibilmente efficace: anche se qualcuno dovesse scoprire la tua e-mail e la password, senza il codice temporaneo non potrà accedere al sito o all’app in questione.
Sebbene questo sistema sia considerato molto sicuro, devi sapere che non è del tutto a prova di hacker. Attraverso tecniche come il phishing, malware o sistemi per l’intercettazione dei codici, i malintenzionati possono comunque trovare il modo di aggirare un sistema 2FA.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di
notizie personalizzato
Seguici ora
In questo articolo ti spiegherò quali sono i metodi più comuni che usano per farlo e, soprattutto, come puoi rafforzare la sicurezza dei tuoi account online per non correre rischi inutili.
Indice dei contenuti
1- Attacchi phishing e 2FA
Le già citate tecniche phishing sono uno dei metodi più comuni con cui gli hacker ottengono l’accesso alle credenziali poiché tutto ciò che l’hacker deve fare è ingannarti facendoti credere che un indirizzo e-mail o un sito Web fraudolento siano legittimi.
Sebbene alcune app di messaggistica, servizi di posta elettronica e browser possano tentare di rilevare link e indirizzi email sospetti, non sono perfetti. Anche gli account protetti da 2FA sono accessibili tramite link di phishing.
Se clicchi su un collegamento di questo tipo che ti porta a una pagina di accesso e inserisci il vostro indirizzo e-mail e la password, il sito fraudolento registra questi dati. Il sito falso gira le informazioni direttamente al cybercriminale, che si intromette tra te e il servizio, intercettando il codice di autenticazione. Lo stesso può poi comodamente accedere al sito/servizio reale sfruttando i tuoi dati.
Come evitare rischi?
Per evitare di cadere nella trappola del phishing, dovresti adottare un atteggiamento sempre molto prudente. Prima di tutto, quando ricevi un’e-mail o un messaggio inatteso che ti chiede dati personali o di cliccare su un link, prenditi sempre il tempo di verificare l’autenticità del mittente, magari contattando direttamente l’azienda o la persona tramite canali ufficiali.
È importante mantenere aggiornati i software di sicurezza, come antivirus e antimalware, che aiutano a bloccare automaticamente e-mail sospette e siti fraudolenti prima che possano danneggiarti. Inoltre, utilizzare strumenti specifici anti-phishing, come estensioni per browser che segnalano siti pericolosi, può fare la differenza nel riconoscere tentativi di truffa. Se ti capita di ricevere messaggi di dubbia natura, evita di aprire allegati o cliccare su link.
Se possibile, infine, imposta un secondo livello di autenticazione 2FA: potrebbe rendere la procedura di login ancora più macchinosa, aggiungendo però uno strato di sicurezza che potrebbe fare la differenza.
2- Phishing e OAuth? Potenziale disastro
Molti siti Web e app consentono di utilizzare un altro account per accedere tramite un sistema chiamato OAuth.
Se hai mai utilizzato il tuo account Google, Apple o Facebook per accedere a un altro sito web, è grazie a OAuth. Accedere con questo metodo riduce il numero di account e password da gestire, ma apre le porte a problemi di sicurezza che non dovresti sottovalutare.
Il primo è che, se un malintenzionato ottiene l’accesso all’account principale, ha accesso illimitato a tutti gli account collegati. Il secondo è che malintenzionati potrebbero impersonare questo processo per aggirare il tuo sistema 2FA.
Il phishing del consenso tramite OAuth inizia con un normale attacco di phishing. Una volta cliccato sul link di phishing, il sito Web o l’applicazione fraudolenta ti chiederà di accedere con un altro account. Riceverai quindi una notifica legittima dal rispettivo provider, che ti chiederà di confermare le autorizzazioni richieste dall’applicazione.
Una volta confermata la richiesta di autorizzazione, l’applicazione fraudolenta ha accesso a tutti i dati richiesti, bypassando completamente la 2FA.
Come individuare potenziali rischi?
Le applicazioni fraudolente utilizzate negli attacchi di phishing basati sul consenso OAuth presentano alcuni evidenti segnali rivelatori.
Oltre ai normali segnali di un attacco di phishing (di cui abbiamo già parlato) le richieste fraudolente di phishing basate sul consenso OAuth richiedono molti più dettagli di quelli necessari a un’applicazione legittima. Se noti un numero sospetto di richieste di dati, non accettare il messaggio OAuth.
3- Intercettazione degli SMS
Il sistema che gestisce gli SMS funziona come un intermediario nel contesto 2FA: quando invii un messaggio, questo passa prima attraverso un centro chiamato SMSC, che poi lo inoltra al destinatario vero e proprio.
Questo meccanismo serve a garantire che un SMS arrivi anche se chi lo deve ricevere non è subito raggiungibile, perché questo viene conservato il fino a quando il destinatario torna disponibile. Tuttavia, proprio questa struttura presenta alcune vulnerabilità che non dovresti sottovalutare.
Gli SMS, infatti, non sono criptati, il che significa che chiunque abbia accesso al centro SMSC può leggere tutti i messaggi memorizzati, compresi quelli che contengono i codici di verifica dei sistemi 2FA.
Ma non si tratta solo di leggere: un malintenzionato potrebbe teoricamente anche manipolare gli stessi, per esempio sostituendo il codice di verifica con un link di phishing. Poiché tu ti aspetti un messaggio con un codice, è più probabile che toccherai quel link senza pensarci, anche se in realtà si tratta di un tentativo di truffa. Proprio per questo motivo, l’autenticazione tramite SMS è considerata il metodo meno sicuro tra quelli disponibili per il 2FA.
Quando puoi, è sempre meglio utilizzare un’app di autenticazione dedicata, che genera i codici direttamente sul tuo dispositivo senza passare per la rete SMS. Tuttavia, se non hai alternative, continuare a usare la verifica via SMS è comunque meglio che non proteggere affatto il tuo account.
4- Il push-bombing può indurti ad accettare una richiesta 2FA
Alcune applicazioni utilizzano le notifiche push nel contesto 2FA. Spesso le vedi quando ti viene chiesto di approvare un accesso a un’app o a un sito Web da un dispositivo diverso. Se un hacker ottiene l’accesso alla tua combinazione e-mail/password, può provare a inviarti una richiesta di autenticazione e sperare che tu la approvi.
Il push-bombing può assumere la forma di ripetute notifiche push che ti chiedono di approvare l’accesso. Questo metodo sembra inefficace, ma è stato utilizzato con grande efficacia dalle vittime che, talvolta, prese dallo sconforto, accettano la notifica sperando di mettere fine alla “tortura”, avviando invece un processo molto pericoloso.
Come contrastare il push-bombing?
Per evitare rischi, evita di interagire con qualunque tipo di notifica inaspettata, soprattutto se questa si ripete con insistenza. Metti in pausa le notifiche e attendi che finisca la “tempesta”.
Fai attenzione quando accedi al tuo account, poiché la richiesta di 2FA legittima può perdersi in un mare di richieste fasulle.
5- Il furto di cookie di sessione
Quando accedi a un qualunque sito Web, sul tuo dispositivo viene generato un cookie di sessione che ti consente di rimanere connesso alla piattaforma. Se torni su un sito già visitato e non hai bisogno di accedere nuovamente con le credenziali, è grazie al cookie relativo.
Questo memorizza i tuoi dati di accesso e, in alcuni casi, è collegato a una scadenza prestabilita. Diversi siti Web, non hanno questa precauzione, con i cookie che sono validi finché non vengono rimossi.
Se un hacker ruba questo cookie di sessione, può accedere al tuo account, bypassando completamente l’autenticazione a due fattori. Questo metodo è particolarmente pericoloso, poiché non avrai a che fare con sintomi che indichino quando un hacker ti stia raggirando.
I cookie di sessione vengono invalidati quando ti disconnetti da un sito. Fai logout sempre manualmente dai siti che ritieni sensibili.
Nonostante le sue vulnerabilità, l’autenticazione 2FA i è ancora il modo migliore per proteggere i tuoi account. Tuttavia, devi essere consapevole dei modi in cui gli hacker possono bypassare questo sistema di protezione.
Tieni inoltre presente che, gradualmente, i colossi tecnologici stanno introducendo il sistema passkey che, nel giro di pochi anni, potrebbe diventare lo standard più diffuso, soppiantando l’autenticazione a due fattori.
Fonte: AndroidPolice
