Credito:CC0 Dominio Pubblico
L'autenticazione a due fattori può essere superata, come ha dimostrato una demo di hacker. Molta attenzione viene prestata a un video pubblicato in cui Kevin Mitnick, Chief Hacking Officer di KnownBe4, ha rivelato l'exploit a due fattori.
L'autenticazione a due fattori è "un ulteriore livello di sicurezza che richiede qualcosa che un dipendente HA e qualcosa che CONOSCE".
"Il cuore dell'attacco arriva in un'e-mail di phishing, in questo caso, uno presumibilmente inviato da LinkedIn, a un membro che indica che qualcuno sta cercando di connettersi con loro su quel social network, " ha detto Doug Olenick, SC Magazine .
L'utente ottiene una pagina di accesso falsa. Il metodo di attacco è descritto nel gergo della sicurezza come una tecnica di phishing delle credenziali, che richiede l'uso di un dominio di typo-squatting. L'idea è quella di lasciare che l'utente dia le sue credenziali. Un amico hacker white hat di Kevin ha sviluppato lo strumento progettato per aggirare l'autenticazione a due fattori.
In questo tipo di attacco cosa si intende per dominio di typo-squatting? è un trucco, e lo "squatting" riflette il modo in cui cybersquat su un'altra entità. Gli utenti di Internet che utilizzano l'indirizzo con lettere volutamente errate con il suo impianto di errore tipografico possono essere indirizzati a un sito Web alternativo gestito da hacker.
Mitnick ha mostrato come funziona tutto questo, accedendo al suo account gmail, tramite una falsa e-mail collegata.
Matteo Humphries, PCMag redattore e giornalista con sede nel Regno Unito, detto in attacco, viene visualizzata un'e-mail relativa al sito Web preso di mira, "quindi il destinatario non si prende il tempo di controllare il dominio da cui è stato inviato."
In questo caso, l'e-mail proveniva da llnked.com piuttosto che da linkedin.com, facile da perdere se non sei alla ricerca di falsi arrivi. Facendo clic sul pulsante "Interessato" nell'e-mail, l'utente viene indirizzato a un sito Web che assomiglia alla pagina di accesso di LinkedIn. Tutto sommato, Mitnick ha mostrato che non era così difficile andare avanti e catturare i dettagli di un utente di LinkedIn, "semplicemente reindirizzandoli a un sito Web che assomiglia a LinkedIn e utilizzando 2FA contro di loro per rubare le credenziali di accesso e l'accesso al sito, " disse Humphries.
La demo ha utilizzato LinkedIn come esempio, ma potrebbe essere utilizzato su Google, Facebook, e qualsiasi altra cosa con accesso a due fattori; i rapporti hanno affermato che lo strumento potrebbe essere "armato" per quasi tutti i siti web.
interessante, è stato l'anno scorso quando Russell Brandom ha detto in Il Verge che era "tempo di essere onesti sui suoi limiti" in riferimento all'autenticazione a due fattori. Brandom ha raccontato come la promessa del doppio fattore abbia cominciato a sgretolarsi presto, con i creatori di dispetti che la aggiravano. Egli ha detto:"è diventato chiaro che la maggior parte dei sistemi a due fattori non regge contro utenti sofisticati".
Ciò nonostante, Egli ha detto, nella maggior parte dei casi, il problema non è a due fattori in sé. È "tutto ciò che lo circonda. Se riesci a sfondare qualcosa accanto a quel login a due fattori, che si tratti del processo di recupero dell'account, dispositivi affidabili, o il conto dell'operatore sottostante, quindi sei a casa libero."
Un consiglio ovvio, però, è stato offerto e che deve essere vigile sui collegamenti. Anche, una prospettiva su cosa sia e cosa non sia l'autenticazione a due fattori è utile. È una soluzione più rigorosa rispetto a un meccanismo di sola password di base. È un ulteriore livello di sicurezza. Ma come Stu Sjouwerman, Amministratore delegato , KnowBe4, ha dichiarato:. "L'autenticazione a due fattori è intesa come un ulteriore livello di sicurezza, ma in questo caso, vediamo chiaramente che non puoi fare affidamento solo su di esso per proteggere la tua organizzazione."
© 2018 Tech Xplore