È ormai risaputo che username e password non sono sufficienti per accedere in sicurezza ai servizi online. Uno studio recente ha evidenziato che oltre l'80% di tutte le violazioni legate all'hacking si verificano a causa di credenziali compromesse e deboli, con tre miliardi di combinazioni nome utente/password rubate solo nel 2016.

Pertanto, l'implementazione dell'autenticazione a due fattori (2FA) è diventata una necessità. In generale, 2FA mira a fornire un ulteriore livello di sicurezza al sistema nome utente/password relativamente vulnerabile.

Funziona anche. I dati suggeriscono che gli utenti che hanno abilitato la 2FA hanno finito per bloccare circa il 99,9% degli attacchi automatici.

Ma come con qualsiasi buona soluzione di sicurezza informatica, gli aggressori possono rapidamente escogitare modi per aggirarla. Possono bypassare 2FA attraverso i codici monouso inviati come SMS allo smartphone di un utente.

Eppure molti servizi online critici in Australia utilizzano ancora codici monouso basati su SMS, tra cui myGov e le 4 grandi banche:ANZ, Commonwealth Bank, NAB e Westpac.

Quindi qual è il problema con gli SMS?

I principali fornitori come Microsoft hanno esortato gli utenti ad abbandonare le soluzioni 2FA che sfruttano SMS e chiamate vocali. Questo perché gli SMS sono famosi per avere una sicurezza infamemente scarsa, lasciandoli aperti a una miriade di attacchi diversi.

Ad esempio, lo scambio di SIM è stato dimostrato come un modo per aggirare la 2FA. Lo scambio di SIM implica che un aggressore convinca il provider di servizi mobili di una vittima che lui stesso è la vittima e quindi richiede che il numero di telefono della vittima venga trasferito su un dispositivo di sua scelta.

È stato anche dimostrato che i codici monouso basati su SMS sono compromessi tramite strumenti prontamente disponibili come Modlishka sfruttando una tecnica chiamata proxy inverso. Ciò facilita la comunicazione tra la vittima e un servizio impersonato.

Quindi, nel caso di Modlishka, intercetterà la comunicazione tra un servizio autentico e una vittima e traccerà e registrerà le interazioni delle vittime con il servizio, comprese le credenziali di accesso che potrebbero utilizzare).

Oltre a queste vulnerabilità esistenti, il nostro team ha riscontrato ulteriori vulnerabilità nella 2FA basata su SMS. Un particolare attacco sfrutta una funzione fornita su Google Play Store per installare automaticamente app dal web sul tuo dispositivo Android.

Se un utente malintenzionato ha accesso alle tue credenziali e riesce ad accedere al tuo account Google Play su un laptop (anche se riceverai una richiesta), può quindi installare qualsiasi app che desidera automaticamente sul tuo smartphone.

L'attacco ad Android

I nostri esperimenti hanno rivelato che un attore malintenzionato può accedere in remoto all'autenticazione a due fattori basata su SMS di un utente con poco sforzo, attraverso l'uso di un'app popolare (nome e tipo nascosti per motivi di sicurezza) progettata per sincronizzare le notifiche dell'utente su diversi dispositivi.

In particolare, gli aggressori possono sfruttare una combinazione e-mail/password compromessa collegata a un account Google (come nome [email protected]) per installare in modo nefasto un'app di mirroring dei messaggi prontamente disponibile sullo smartphone di una vittima tramite Google Play.

Questo è uno scenario realistico poiché è normale che gli utenti utilizzino le stesse credenziali in una varietà di servizi. L'utilizzo di un gestore di password è un modo efficace per rendere più sicura la tua prima linea di autenticazione, il tuo nome utente/password di accesso.

Una volta installata l'app, l'attaccante può applicare semplici tecniche di ingegneria sociale per convincere l'utente ad abilitare le autorizzazioni necessarie per il corretto funzionamento dell'app.

Ad esempio, possono fingere di chiamare da un legittimo fornitore di servizi per convincere l'utente ad abilitare le autorizzazioni. Successivamente possono ricevere in remoto tutte le comunicazioni inviate al telefono della vittima, inclusi i codici monouso utilizzati per 2FA.

Sebbene debbano essere soddisfatte più condizioni affinché il suddetto attacco funzioni, dimostra comunque la natura fragile dei metodi 2FA basati su SMS.

Ancora più importante, questo attacco non richiede capacità tecniche di fascia alta. Richiede semplicemente informazioni su come funzionano queste app specifiche e su come usarle in modo intelligente (insieme all'ingegneria sociale) per prendere di mira una vittima.

La minaccia è ancora più reale quando l'aggressore è un individuo fidato (ad esempio un familiare) con accesso allo smartphone della vittima.

Qual ​​è l'alternativa?

Per rimanere protetto online, dovresti verificare se la tua linea di difesa iniziale è sicura. Per prima cosa controlla la tua password per vedere se è compromessa. Ci sono un certo numero di programmi di sicurezza che ti permetteranno di farlo. E assicurati di utilizzare una password ben congegnata.

Ti consigliamo inoltre di limitare l'uso degli SMS come metodo 2FA, se possibile. Puoi invece utilizzare codici monouso basati su app, ad esempio tramite Google Authenticator. In questo caso il codice viene generato all'interno dell'app Google Authenticator sul tuo dispositivo stesso, anziché essere inviato a te.

Tuttavia, questo approccio può anche essere compromesso dagli hacker che utilizzano alcuni malware sofisticati. Un'alternativa migliore sarebbe utilizzare dispositivi hardware dedicati come YubiKey.

Si tratta di piccoli dispositivi USB (o abilitati alla comunicazione near-field) che forniscono un modo semplificato per abilitare 2FA su diversi servizi.

Tali dispositivi fisici devono essere collegati o portati nelle immediate vicinanze di un dispositivo di accesso come parte di 2FA, mitigando così i rischi associati ai codici visibili una tantum, come i codici inviati tramite SMS.

Va sottolineato che una condizione alla base di qualsiasi alternativa 2FA è che l'utente stesso deve avere un certo livello di partecipazione e responsabilità attiva.

Allo stesso tempo, i fornitori di servizi, gli sviluppatori e i ricercatori devono lavorare ulteriormente per sviluppare metodi di autenticazione più accessibili e sicuri.

In sostanza, questi metodi devono andare oltre la 2FA e verso un ambiente di autenticazione a più fattori, in cui più metodi di autenticazione vengono distribuiti contemporaneamente e combinati secondo necessità.