Home » L’autenticazione a due fattori non è più sicura? La scoperta tutta italiana

L’autenticazione a due fattori non è più sicura? La scoperta tutta italiana

L'autenticazione a due fattori potrebbe essere bucata da un Browser-in-the-middle-attack: scopriamo come funziona.

Categorie I'm the creeper

Sembrerebbe che l’autenticazione a due fattori non sia più sicura. A dirlo sono tre ricercatori italiani, che in un paper hanno spiegato come la two-factor authentication si possa hackerare. L’attacco è stato rinominato “Browser-in-the-Middle attack” per la sua analogia col “Man-in-the-middle”. Ci sono molte similarità tra i due, sebbene il BiTM soffra di molte meno carenze rispetto all’altro.

Secondo i tre ricercatori di sicurezza questo attacco è molto semplice da implementare e viene usato assieme a svariate tecniche di phishing. A differenza del MiTM, il BiTM non utilizza un malware web-based, ma si sostituisce al browser della vittima. L’attaccante, in questo modo, è in grado di accedere a tutte le informazioni inserite dall’utente ed eseguire operazioni sulla piattaforma di destinazione.

Autenticazione a due fattori e BiTM

Franco Tommasi, Christian Catalano e Ivan Taurino sono i tre ricercatori che, pochi giorni fa, hanno dimostrato l’esistenza di un attacco capace di bucare l’autenticazione a due fattori. Al contrario degli attacchi MiTM, i BiTM non necessitano di sfruttare vulnerabilità o debolezze nei canali di comunicazione, né di ottenervi accesso fisico: per questo fa così paura.

Alla base del BiTM c’è un finto browser, controllato dall’attaccante, che si pone tra la vittima e il web server a cui l’utente vuole accedere. L’obiettivo è lo stesso del MiTM: rubare i dati inseriti e sfruttarli per ottenere accesso ad aree riservate della vittima.

L’attaccante induce la vittima a cliccare su un link creato appositamente per l’attacco e che punta al proprio server. Questa prima fase viene svolta sfruttando tecniche di phishing per portare l’utente ad autenticarsi su una particolare applicazione. Quando l’utente clicca il link si connette al server dell’attaccante dove, oltre al browser creato ad-hoc, ci sono una serie di programmi che l’hacker usa per intercettare e registrare i dati inseriti dalla vittima.

Il server dell’attaccante si connette all’applicazione dove l’utente vuole loggarsi, che sia un social network o una piattaforma bancaria, in maniera del tutto trasparente. La vittima, a questo punto, inserisce i propri dati di login. L’attaccante può così intercettare le credenziali dell’utente e registrare tutte le sue azioni. Ciò significa, ad esempio, sfruttare email, password e otp per effettuare diverse operazioni.

I limiti dell’attacco

L’attacco Browser-in-the-middle, per quanto efficace, ha comunque dei limiti. Primo fra tutti, soffre in caso di latenza alta di rete: l’utente potrebbe sospendere la navigazione nel caso di connessione lenta, bloccando sostanzialmente l’attacco. In questi casi l’attaccante potrebbe momentaneamente direzionare la vittima verso il sito web ufficiale.

Un altro rischio è quello legato alla compatibilità dei diversi device: il server potrebbe intuire, erroneamente, che l’utente stia usando un browser desktop quando in realtà sta navigando da smartphone. In questo caso la vittima, se abbastanza attenta, potrebbe accorgersi dell’errore e rinunciare al login, percependo la differenza di navigazione.

Il BiTM è scalabile in quanto l’attaccante può preparare un certo numero di link falsificati e utilizzare tecniche di phishing su un elevato numero di utenti. Se da un lato questo va a vantaggio dell’attaccante, dall’altra c’è il limite legato al server usato per l’attacco. La capacità della piattaforma e la larghezza di connessione devono essere in grado di sostenere gli obiettivi dell’attaccante. In tutti e tre i casi si tratta comunque di limiti facilmente superabili.

Per proteggersi dal BiTM è fondamentale evitare di cliccare su link sospetti, recuperati non in maniera ufficiale. Occorre sempre fare attenzione alle mail che si ricevono e verificare che il mittente sia legittimo. Lato server, invece, occorre integrare metodi di autenticazione diversi, come face ID, touch ID oppure conferma operazioni tramite app: in questo modo l’attaccante non è in grado di portare a termine l’attacco.

FONTI VERIFICATE