Autenticazione a due fattori su internet, allarme da Unisalento: «Non è sicura»

Autenticazione a due fattori. Credevamo che i nostri dati online fossero blindati dietro questo strumento, che utilizzare un altro pin o una seconda password, ricevute via app o sms, potesse tenerci alla larga da hacker e fenomeni di phishing. Uno studio condotto da tre ricercatori dell’Università del Salento ha dimostrato che non è proprio così: anche questo sistema di protezione si può aggirare. Gli scienziati in questione sono Franco Tommasi, professore associato di Elaborazione delle Informazioni presso il Dipartimento di Ingegneria dell’Innovazione dell’Università del Salento, Christian Catalano e Ivan Taurino.

La ricerca

I ricercatori hanno letteralmente inventato un tipo di attacco informatico che permette di eludere l’autenticazione a due fattori, dimostrando quindi che occorre prestare sempre maggiore attenzione per proteggere i nostri dati online.

D’altro canto il fenomeno della criminalità informatica è sempre più in espansione e punta a sfruttare un vero e proprio tesoro: i dati online. Uno degli attacchi informatici più utilizzati è il cosiddetto Man-in-the-Middle (MitM), in cui l’obiettivo principale è quello di compromettere la riservatezza, l’integrità e la disponibilità dei dati che scorrono tra origine e destinazione.

È in pratica il classico attacco condotto con il sistema del phishing, in cui l’utente è indirizzato verso un sito fake simile a quello autentico (ad esempio della propria banca), permettendo così agli hacker di impadronirsi delle credenziali. È il classico attacco contro cui ci si può proteggere con un'autenticazione a due fattori. Ma lo studio dei ricercatori salentini, chiamato “Browser-in-the-Middle (BitM) attack”, mira a modellare e descrivere un nuovo metodo di attacco, denominato Browser-in-the-Middle (BitM) che bypassa alcune delle carenze tipiche di MitM. Questo attacco potrebbe sempre partire con la tecnica del phishing ma in seguito si amplia il raggio delle possibili azioni.

Le caratteristiche

Tra le sue caratteristiche, ad esempio, non è prevista la necessità di installare malware di qualsiasi tipo sulla macchina della vittima. Così l’attacco si manifesta sostituendo il browser della vittima con un browser trasparente dannoso, ospitato sulla piattaforma di attacco, che l’attaccante è in grado di controllare in ogni modo, lasciando la vittima totalmente ignara della sostituzione. Lo scopo dell’interposizione è sempre quello di intercettare, registrare e manipolare qualsiasi scambio di dati tra la vittima e il prestatore di servizi. L’aspetto particolare di questo attacco è che l’utente potrebbe non accorgersi mai di essere stato truffato, potrebbe cascare nella trappola senza avere il minimo sentore di esserci cascato, afferma il professore Franco Tommasi. I possibili attacchi non sono solo economici, quindi riferiti ai nostri conti bancari, ma riguardano anche il reperimenti di nostri dati tramite ad esempio le email, sottolinea invece Ivan Taurino. Quali strumenti possiamo utilizzare, allora, per tutelarci da attacchi sempre più sofisticati? Per potersi proteggere vale sempre lo stesso consiglio - afferma il ricercatore Christian Catalano – stare attenti ai link e ai messaggi che arrivano, prestare la massima attenzione su cosa si clicca. Prestare massima attenzione all’url del browser su cui intendiamo navigare».