Cosa succede quando l’autenticazione a due fattori, il metodo di sicurezza che invia un sms di conferma sul proprio cellulare, si incontra con un gruppo di hacker guidato da Kevin Mitnick, il pirata informatico numero uno al mondo? Semplicemente, l’autenticazione a due fattori alza bandiera bianca.

Le aziende e i consumatori vengono costantemente invitati ad adottare l’autenticazione a due fattori per aumentare la sicurezza dei login ai vari servizi di cui hanno bisogno. Ma questo tipo di tecnologia, che a prima vista potrebbe sembrare invulnerabile, non è priva di punti deboli.

I pirati informatici stanno infatti trovando dei metodi efficaci per ingannare il sistema, utilizzando l’ingegneria sociale, ovvero delle tecniche che ingannando la vittima e la portano a compiere degli errori per poter sferrare attacchi informatici.

Un nuovo meccanismo di aggressione, realizzato da un gruppo di hacker guidato da Kevin Mitnick, l’hacker più famoso di tutti i tempi, ha dimostrato la sua efficacia nel bucare il sistema di autenticazione a due fattori.

Così Mitnick ha bucato l’autenticazione a due fattori

Tutto si basa su uno strumento che venne sviluppato originariamente dall’hacker Kuba Gretzky, che pubblicò un lungo post nel suo blog aprendo la strada alla nuova tecnologia. Il meccanismo si basa sul typosquatting, una pratica in cui gli hacker creano degli indirizzi URL che sembrano in tutto e per tutto simili a quelli originali, e che riprendono siti web che le persone conoscono e di cui si fidano, ma che sono in realtà pericolosi.

Mitnick ha iniziato la sua dimostrazione aprendo una falsa mail da LinkedIn e visualizzando un indirizzo URL malevolo che differiva solo millimetricamente da uno reale. Coloro che si sono lasciati trarre in inganno dal trucco e hanno cliccato sul link presente all’interno della mail sono stati redirezionati una pagina di login dove dovevano inserire il loro username, la loro password ed eventualmente un codice di autenticazione che veniva inviato allo smartphone.

Quello che ha cambiato le carte in tavola è stata la possibilità da parte del pirata informatico di visualizzare in una finestra separata non solo i dati inseriti a schermo dalla vittima, ma anche il codice a 6 cifre che gli era stato appena spedito sul cellulare.

In realtà, gli hacker non utilizzano esattamente le 6 cifre, in quanto non è possibile riutilizzare un codice due volte e se la vittima lo inserisce prima del pirata informatico, questo scade, lasciando l’hacker nell’impossibilità di accedere.

Quello che gli esperti sono stati in grado di fare, è stato piuttosto intercettare i cookie di sessione, (dei piccoli codici per l’identificazione dell’utente ndr). Attraverso la registrazione di questi cookies un pirata informatico non ha più nemmeno bisogno del nome utente e della password o del codice per accedere all’account.

Si può semplicemente inserire la chiave di questo cookie nel browser come se si fosse nei panni dell’utente. Dopodiché, avviando il tool di Gretzky e aggiornando la pagina, si riesce ad entrare nell’account pur senza aver ricevuto il codice di conferma su un dispositivo fisico.

Il sistema non funziona su vasta scala… per fortuna

“Non è la prima volta che l’autenticazione a due fattori viene superata”, racconta Stu Sjouwerman, fondatore e CEO della KnowBe4. “Ci sono almeno 10 modi differenti di superare un autenticazione a due fattori. – spiega Sjouwerman – Sono stati tutti quanti sviluppati in breve tempo e sono conosciuti nel settore, ma non sono stati ancora pubblicizzati alla stragrande maggioranza degli hacker, e per ora sono appannaggio solo di pochi pirati informatici, fra i più esperti.”

Perchè questi attacchi non sono stati utilizzati su vasta scala? Il punto è che per eseguire una procedura di questo tipo bisogna essere degli hacker particolarmente abili, e bisogna preparare manualmente il codice per la specifica persona che si sta attaccando. E’ insomma un attacco one-on-one e non può essere organizzato su vasta scala per coinvolgere una massa di utenti in poco tempo.

Questa, per ora, l’unica salvezza: ma se un domani dovesse essere individuato un metodo per automatizzare il sistema, la sicurezza informatica si troverebbe priva di uno degli strumenti più diffusi ed efficaci… e sarebbe una catastrofe.