L’autenticazione a due fattori è uno dei metodi ormai consolidati nelle nostre abitudini online, in quanto serve a rendere ancora più sicuro un account bancario, sui social o su qualsiasi altro servizio di cui fruiamo tramite app desktop e mobile. Ma secondo una recente scoperta di tre ricercatori italiani dell’Università del Salento, la situazione potrebbe presto cambiare e questo processo di autenticazione individuale diventare obsoleto e insicuro.
Autenticazione a due fattori a rischio?
L’autenticazione a due fattori ( Multi-factor authentication -MFA) è noto per fornire una difesa aggiuntiva e rendere più difficile l’accesso a una rete o a un database per una persona non autorizzata. In questo modo i dati e le risorse IT possono essere istantaneamente protetti contro il furto d’identità, lo spoofing dell’account e il phishing. Si basa sull’utilizzo congiunto di due metodi di autenticazione individuali. Molto spesso è legato al concetto di out of band authentication: l’uso di più canali per autenticarsi verso un asset.
Ma tre ricercatori salentini, ovverosia Franco Tommasi, Christian Catalano e Ivan Taurino, sono riusciti a elaborare un sistema capace di bypassare l’MFA attraverso un metodo da loro ribattezzato BitM (Browser-in-the-Middle-attack).
Quest’ultimo si ispira in parte al phishing tradizionale, da cui mutua le tecniche per entrare in contatto con una potenziale vittima per spingerla ad aprire un link attraverso per esempio la classica falsa mail o il tradizionale finto SMS inviati dalla banca o dall’INPS. Ma nel caso specifico, il link non porta a un sito farlocco dove l’hacker spinge gli utenti a inserire le proprie credenziali e ruba poi tutti i suoi dati sensibili, ma sul vero sito dell’ente o del social del messaggio falso.
Ed è qui l’inganno: il sito a quel punto viene visualizzato dalla vittima attraverso un altro browser intermediario, ovverosia quello del cybercriminale, che di fatto può vedere ogni azione compiuta dall’ignaro utente. Non a caso la tecnica usata, come detto prima, si chiama Browser-in-the-Middle-attack, che fa proprio riferimento a un attacco che sfrutta un browser mediano. “Alla base del metodo c’è lo stesso protocollo usato per controllare lo schermo di un computer remoto”, spiega il professor Franco Tommasi a La Repubblica.
“Nel nostro caso la vittima visualizza lo schermo dell’attaccante, un browser web a tutto schermo che sta in realtà sta ‘visitando’ il sito autentico. La vittima così interagisce con il computer dell’attaccante senza rendersene conto, credendo di star visitando il sito autentico”. Le Big tech, le autorità e i principali enti nazionali e internazionali sono ovviamente state messe a conoscenza di questo problema da parecchi mesi, ma al momento non esiste un rimedio sicuro per fronteggiarlo, se non il richiamo alla massima prudenza nei confronti degli utenti.