I cyber criminali superano l’autenticazione a due fattori

04.07.22 -

L’autenticazione a due fattori può essere superata dai cyber criminali. In questo articolo torniamo sull’argomento e vediamo cos’è e a cosa serve la 2FA. Soprattutto cerchiamo di capire come i cybercriminali riescono a bypassarla e quali sono le soluzioni a disposizione per difendersi.

Autenticazione a due fattori: che cos’è e a cosa serve

L’autenticazione a due fattori, detta anche 2FA, è un metodo di autenticazione sicura per sistemi e piattaforme informatiche. Consiste nell’utilizzo di due metodi di autenticazione invece di uno.

Ad esempio l’inserimento di una password e la scansione dell’impronta digitale.

Molto spesso viene confusa con la verifica in due passaggi (2SV), che però è cosa diversa.

L’autenticazione a due fattori protegge efficacemente gli account perché alza il livello di sicurezza, rendendo più difficile l’accesso a malintenzionati e a utenti non autorizzati.

Autenticazione a due fattori: come funziona

Come spiegato in qualche articolo precedente, l’autenticazione a due fattori (2FA) si basa sull’utilizzo congiunto di due metodi individuali (di solito su due canali).

Facciamo un esempio, quando accediamo al nostro conto corrente, oltre a fornire la propria UserID e la propria password, utilizziamo anche una (one-time password o OTP).

Viene creato un codice utilizzabile solo una volta che viene inviato all’utente oppure generato attraverso un token.

Cybercriminali: una nuova tecnica per bypassare la 2FA

I cyber criminali come sappiamo sono sempre alla ricerca di qualche falla da utilizzare per bypassare i vari controlli. Infatti una nuova tecnica di phishing sta sfruttando le applicazioni di Microsoft Edge WebView2 per prendere possesso dei cookie di autenticazione e dare modo ai pirati di loggarsi ad account rubati. In questo modo viene bypassata la 2FA.

Ovviamente per i cyber criminali l’autentificazione a due fattori è molto difficile da bypassare e rende loro la vita difficile.

Tuttavia il ricercatore mr.d0x ha creato un nuovo metodo di phishing che offre la possibilità ad un malintenzionato di rubare facilmente le credenziali di autenticazione e di conseguenza fare il login anche ad account che utilizzano l’autenticazione 2FA.

Microsoft Edge WebView2 per accedere ad account rubati

Come per tutti i tipi di attacchi che sfruttano il Phishing, la base è il social engineering. Il cyber criminale porta la povera vittima a lanciare un eseguibile chiamato (WebView2), che una volta eseguito apre una pagina di login a un sito legittimo all’interno della stessa applicazione.

Il ricercatore specifica nel suo blog che il (WebView2) permette di integrate tecnologie Web come HTML, JavaScript , CSS come se fossero dei browser. Con questa tecnica le app possono caricare un qualsiasi sito e far sembrare che sia aperto in Microsoft Edge.

Il WebView2 consente agli sviluppatori di accedere direttamente ai cookie e di iniettare del JavaScript nella pagina caricata.

La cosa forse più pericolosa è che il codice accede alla cartella “User Data Folder (UDF) di Chrome”, dove sono contenute tutte le password, i segnalibri dell’utente e le sessioni. In questo modo è possibile esportare i cookie dei siti all’autenticazione e inviarli al server attaccante.

L’attacco va a buon fine bypassando la 2FA perché i cookie vengono rubati dopo che l’hanno superata rimanendo validi fino al termine della sessione.

Come ci difendiamo da questo tipo di attacco?

Come spiegato diverse volte, se non siete sicuri al 100% di quello che avete ricevuto via e-mail, via sms, via social, diffidate sempre. Prima di aprire un qualsiasi allegato o cliccare su un link informatevi facendo delle ricerche su internet.

Se per errore avete cliccato sul link presente, verificate l’url del sito (l’indirizzo presente sul browser). Verificate se il contenuto è scritto in Italiano corretto, tenete sempre aggiornato il proprio sistema operativo con Windows Update, installate e tenete aggiornato il vostro antivirus.

Consulta i canali dell’autore

Il canale youtube Byte Yok
Il Cam TV Giorgio Perego

Aggiornati con i corsi di formazione dell’Istituto INFORMA

Corso di formazione per il Manager della Security
Corso qualificato per la Certificazione “Professionista della Security Aziendale” istituita dall’Organismo di certificazione CERSA.

Consulta il volume di EPC Editore

Manuale di diritto di INTERNET
L’opera, nata dalla collaborazione di diversi studiosi e professionisti specializzati nel settore, approfondisce la complessa tematica del rapporto fra diritto e nuove tecnologie
NormativaIn risaltoIn primo pianoNewsapprofondimentiProdotti & tecnologieSentenzeQuesitoDispositivi di Protezione individuale - DPIINAILmembershipCovid-19norme tecnicheSafety ExpoTesto Unico di Sicurezza - D.Lgs. 81/2008
Articoli correlati