LO SCENARIO

Phishing per aggirare l’autenticazione a due fattori: come funziona e come difendersi

L’autenticazione a due fattori consente di elevare il livello di sicurezza per l’accesso alle risorse, ma ha alcuni punti deboli che potrebbero essere sfruttati per portare a termine attacchi mirati di tipo phishing. Analizziamoli per mettere al sicuro i nostri dati riservati

11 Apr 2019
M
Stefano Mastella

Esperto privacy e cyber security - DPO certificato UNI 11697

Anche il sistema dell’autenticazione a due fattori, ormai considerato uno standard di fatto per la definizione di accesso sicuro alle risorse, ha alcuni punti deboli che potrebbero essere utilizzati dai criminal hacker per portare a termine attacchi mirati di tipo phishing.

Ciò è possibile in quanto la convinzione di avere a che fare con un sistema sicuro può farci eseguire in modo automatico alcune operazioni senza prestare la dovuta attenzione, permettendo ad un malintenzionato di accedere in modo fraudolento ad aree riservate.

Autenticazione a due fattori: vantaggi e criticità

L’autenticazione a due fattori, lo ricordiamo, consente di rafforzare il meccanismo della password e, pur non essendo l’ottimo, è considerata ampiamente una best practice per proteggere account e dati.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

L’ottimo sarebbe un’autenticazione a tre fattori:

  • qualcosa che sai (ad esempio la password);
  • qualcosa che hai (token, telefono);
  • qualcosa che sei (dato biometrico).

Tale sistema presenta però evidenti difficoltà soprattutto per quanto concerne l’identificazione e l’accesso su siti internet.

Da qui il fatto che l’autenticazione a due fattori, tipicamente rappresentata dal binomio password e token/OTP (One Time Password), stia sempre più prendendo piede. La si trova infatti in applicazioni delicate (accesso a siti di internet banking, ad esempio) e sempre di più in applicazioni fino a poco tempo fa ritenute non critiche, come la posta elettronica o i profili dei social network.

Il sistema è decisamente più sicuro del solo utilizzo della password che si è dimostrato ampiamente violabile o aggirabile.

Il fatto di adottare una best practice non ci mette però al sicuro del tutto e paradossalmente potrebbe portare ad un abbassamento della percezione del rischio.

Aggirare il sistema di autenticazione a due fattori: il caso

L’articolo “When Best Practice Isn’t Good Enough: Large Campaigns of Phishing Attacks in Middle East and North Africa Target Privacy-Conscious Users” pubblicato sul sito di Amnesty International mostra come sia semplice sfruttare il falso senso di sicurezza di utenti, comunque preparati, per aggirare il sistema di accesso a due fattori.

L’articolo riporta che è stata osservata una massiccia campagna di phishing, con obiettivi Medio Oriente e Nord Africa, congegnata per aggirare il sistema di autenticazione a due fattori.

Il sistema implementato è complesso e ha come obiettivo utenti che hanno comunque una minima percezione delle misure da adottare per rendere sicuro il proprio account.

La descrizione dell’attacco

Gli attaccanti hanno innanzitutto acquisito dei siti con un dominio praticamente identico a quello originale (in un caso hanno cambiato solamente il dominio di primo livello) e hanno costruito, come d’abitudine in questi casi, un sito identico.

L’acquisto del dominio ha permesso loro di installare un certificato SSL valido in modo da fornire un ulteriore elemento di rassicurazione.

L’attacco è poi avvenuto inviando e-mail di attenzione per l’account violato con la richiesta di cambio della password.

L’utente cliccando sul link accedeva al sito fasullo e immetteva le credenziali.

Queste venivano automaticamente girate al sito originale che provvedeva o alla richiesta del codice token o all’invio al telefono della vittima dell’OTP.

Il sistema provvedeva a inoltrare l’OTP al sito originale e contemporaneamente forniva all’attaccante l’accesso alle informazioni riservate dell’utente.

Lo stesso tipo di attacco è stato portato anche su account Google e Yahoo.

In questo caso è stato effettuato un lavoro preparatorio di social engineering che prevedeva la condivisione e collaborazione su documenti in Google Docs al fine di carpire la fiducia dell’utente.

Considerazioni sulla sicurezza dell’accesso a due fattori

Un attacco come questo è sicuramente non banale.

L’attaccante ha scelto con cura il bersaglio e ha preparato l’infrastruttura in modo tale da rendere minimi i sospetti da parte dell’attaccato. L’infrastruttura è complessa e prevede la possibilità di registrare e utilizzare dati che spesso hanno un tempo di vita non superiore ai 30 secondi.

La registrazione del sito con nome molto simile, l’uso del certificato SSL e la possibilità di combinare tecniche di phishing e social engineering denotano un livello di preparazione e interesse decisamente elevato.

L’acceso alle informazioni è però sostanzialmente limitato alla singola sessione autenticata, a seconda dei meccanismi di protezione dei siti ma non per questo meno pericoloso.

Pur nella sua complessità, l’attacco rivela l‘esistenza di possibili workaround a uno schema che di fatto è diventato sinonimo di autenticazione sicura.

Il fatto che l’attacco abbia avuto successo non significa però che lo schema di autenticazione a due fattori non sia valido o sia da abbandonare.

Certamente il suo livello di sicurezza è incomparabile rispetto al solo utilizzo della password, come ampiamente dimostrato.

Penso che però sia molto importante valutare come l’elemento abitudine e il senso di sicurezza umano siano sempre elementi cruciali.

Gli utenti vittima di questo attacco, come ho già ribadito, sono persone che hanno consapevolezza dei rischi e hanno deciso di affidarsi a sistemi più sicuri di autenticazione.

Presumibilmente sono anche preparati al riconoscimento di sistemi semplici di phishing e hanno conoscenza dell’importanza della comunicazione su un canale cifrato attraverso il protocollo HTTPS.

Ciononostante, il controllo superficiale e il falso senso di sicurezza dato, appunto, dal fatto di essere in un ambiente “sicuro” li ha indotti a non controllare con attenzione il processo di accesso.

Consigli e suggerimenti anti-phishing

Ritengo sempre importante sottolineare che i soli elementi tecnici di difesa e sicurezza non siano sufficienti a garantire la stessa.

Anche sistemi di autenticazione ritenuti sicuri, a ragione, possono avere dei punti deboli che possono essere sfruttati per bypassare il sistema stesso.

È necessario che anche gli utenti più consapevoli non abbassino la guardia pensando che il sistema tecnico li metta al riparo da ogni rischio e continuino ad applicare attenzione e controllo per evitare di rimanere vittima di attacchi nuovi e raffinati.

New call-to-action 

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr