autenticazione a due fattori

Autenticazione a due fattori: è ancora sicura?

/in , /da

Sono ormai lontani i tempi in cui l’autenticazione a due fattori (2FA) era un metodo sicuro ed affidabile per proteggersi dai malintenzionati. Tutte le notizie che sentiamo sui furti di dati dovrebbero rendere ancora più evidente il fatto che l’autenticazione non è più un metodo infallibile ed affidabile.

COME FUNZIONA?

La notizia è abbastanza recente: un ricercatore polacco è riuscito a creare uno strumento (chiamato Modlishka) in grado di rendere automatico l’automatizzazione del phishing delle password ad uso singolo (One-tme-passcode), quelle inviate per SMS o generate dalle applicazioni di autenticazione per intenderci. Questo strumento risiede nel server di un sito di phishing e catture le credenziali fornite da un utente ingannato; invece che clonare il sito, carica il contenuto per rendere ancora più credibile il tutto agli occhi del malcapitato e nascondere l’attacco. In questo modo la vittima interagisce col sito web normalmente, senza accorgersi della trappola in qui è caduta.

Qui trovi un video dimostrativo: ecco come questo strumento è in grado di sottrarre le credenziali ad un utente.

COME PUÒ ESSERE COSÌ UTILE?

Risulta molto vantaggioso se utilizzato per scopi particolari: simulare attacchi di phishing nei confronti dell’autenticazione a due fattori nei penetration test oppure di social engineering; permette di individuare eventuali vulnerabilità nella propria sicurezza.
Qualcuno potrebbe obiettare che si dimostra un perfetto strumento per i cybercriminali, ma il fatto è che esistono già una marea di programmi/strumenti che possono usare per sferrare i loro attacchi.

COSA SI PUÒ FARE?

Come ogni cosa, anche il phishing OTP ha dei limiti: la password sottratta può essere usate dal criminale entro pochi secondi, o viene sostituito da quello nuovo. Un sistema di gestione di password non si attiva se incappa in un dominio di phishing: un utente a questo punto dovrebbe insospettirsi.
Nonostante tutto, il consiglio non è quello di abbandonare drasticamente l’utilizzo dell’autenticazione a due fattori: ogni sito importante ormai offre un’alternativa sicura.

 

Vuoi altre informazioni?

CONTATTACI

Fonte dei contenuti: SophosItalia

Potrebbero interessarti
E se Google avesse raccolto le tue password per errore?
Phishing - emotet Emotet, il ritorno del malware bancario
Controlla la tua privacy online con Firefox Monitor!
Sophos Evolve Sophos EVOLVE: l’evoluzione della cybersecurity – partecipa all’evento il 14 Giugno
come proteggersi dai ransomware Una mini-guida per proteggersi dagli attacchi ransomware
Phishing - emotet Sneaky Phishing: quando le truffe sono subdole