Aggiornamenti recenti Aprile 1st, 2025 2:38 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
- SharePoint inondato dallo spam: la colpa è di un dominio Stream compromesso
- RedCurl passa al ransomware: scoperto il primo attacco con QWCrypt
La 2FA funziona? Sì, ma solo se usata correttamente
Ormai l’autenticazione a due fattori (2FA – two-factor authentication) viene usata da ogni servizio online. Anche se è un ottimo metodo per preservare la sicurezza degli account, se non viene usata nel modo corretto non è sufficiente a proteggerci.
La 2FA è diventata di uso comune, sostituendosi all’autenticazione “classica” in cui si usa solo la combinazione di nome utente/password. L’autenticazione a due fattori prevede l’uso combinato di due tipi di credenziali scelte tra tre categorie:
- qualcosa che si conosce, come un PIN o un’OTP;
- un oggetto che si possiede, come una carta o un dispositivo hardware;
- qualcosa che si è, ovvero il riconoscimento facciale o vocale, o l’impronta digitale.
Di base la two-factor authentication è un metodo piuttosto sicuro, in quando un attaccante dovrebbe possedere entrambi i fattori dell’equazione per accedere all’account. La vera debolezza della 2FA è il fattore umano.
Nel momento in cui un attaccante riesce a inserirsi nella catena di eventi dell’autenticazione può recuperare tutti i dati che gli servono per prendere possesso dell’account. Le tecniche più usate dagli attaccanti sono quelle della social engineering.
Il metodo più comune consiste nell’invitare l’utente a visitare un sito che sembra quello autentico ma che in realtà è stato creato ad hoc dall’attaccante. Se si controlla bene l’URL si può notare qualcosa di diverso rispetto a quello reale (ad esempio un typo), ma gli attaccanti giocano sull’urgenza della richiesta per prendere in contropiede l’utente. Un esempio classico è la richiesta di inserire le proprie credenziali in seguito a un tentativo di login sospetto.
Quando l’utente inserisce le credenziali il sito malevolo le invia a quello reale e ottiene in cambio un token 2FA, il quale genera un cookie di sessione che permette di accedere al sito vero. L’utente, in questo modo, non si accorge di nulla: il sito ha risposto correttamente, quindi non sospetta di un attacco. L’hacker, nel frattempo, ha ottenuto il cookie che gli permetterà di accedere fingendosi la vittima.
L’implementazione più usata della 2Fa consiste nella combinazione di password ed sms, che al giorno d’oggi è il metodo meno sicuro per l’autenticazione. Intercettare i messaggi è molto semplice per un attaccante, e una delle tecniche più usate è la SIM swapping.
Questo attacco consiste nell’attivare la SIM della vittima su un altro telefono (quello dell’attaccante). Per farlo l’hacker ha bisogno del numero di telefono, del nome dell’operatore, del nome utente e del PIN per sbloccare il dispositivo, che trattandosi di un codice a 4 cifre può essere facilmente ricavato con tecniche brute force.
A questo punto l’attaccante si rivolge al supporto per chiedere che il numero di telefono venga collegato a un nuovo dispositivo e di attivarvi l’account. L’hacker ha così accesso a ogni messaggio testuale diretto verso la SIM dell’utente. Anche in questo caso l’attacco si basa sull’interazione umana, impersonando qualcuno e sfruttando l’ingegneria sociale.
È importante capire che la 2FA non può proteggerci sempre da tutto. Le tecniche di attacco evolvono continuamente, puntando sempre più sugli errori umani. Se siamo noi i primi ad abbassare la guardia, neanche l’autenticazione a due fattori è sicura.
Condividi l'articolo
- 2FA, autenticazione, autenticazione a due fattori, Consigli sicurezza informatica, sim swapping, social engineering
Instagram: come recuperare un account hackerato
GrayKey GK.02: come la polizia USA hackera i telefoni
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è... -
Kaspersky avverte: email aziendali usate per account... Kaspersky lancia un segnale d’allarme: registrare account...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
SharePoint inondato dallo spam: la colpa è di un dominio... Un vecchio dominio di Microsoft Stream è stato compromesso... -
RedCurl passa al ransomware: scoperto il primo attacco con... RedCurl, gruppo hacker russo attivo almeno dal 2018 e...
Ransomware: la serie
No posts found.
