L'FBI avverte che le tecniche di ingegneria sociale potrebbero aiutare a bypassare l'autenticazione a più fattori

Qualche tempo fa, abbiamo parlato di quanto possano essere utili i sistemi di autenticazione a due fattori e di autenticazione a più fattori e di come possano aiutare gli utenti a proteggere i loro account dagli hacker. Tuttavia, con il tempo, gli specialisti della sicurezza informatica hanno dimostrato che nessun sistema è invincibile e che tutte le misure di sicurezza possono essere aggirate se gli aggressori dispongono di mezzi, fondi e determinazione per farlo. L'ultima prova di ciò è stata presentata nell'annuncio dell'FBI . Discute gli attacchi osservati dell'FBI sui sistemi di autenticazione a più fattori e avverte di non dipendere troppo alla cieca da livelli di sicurezza aggiuntivi. Questo significa che utilizzare l'autenticazione a più fattori o impostare password complesse è una perdita di tempo? Puoi trovare ulteriori risposte a queste domande in questo post del blog. Inoltre, nel resto di questo articolo, parliamo di come gli hacker ignorano l'autenticazione a più fattori e la frequenza con cui si verificano tali attacchi.

In che modo gli hacker possono bypassare l'autenticazione a più fattori?

Secondo l'avvertimento dell'FBI, gli hacker aggirano l'autenticazione a più fattori con l'aiuto di comuni tecniche di social engineering e attacchi tecnici. L'annuncio specificava lo scambio di SIM , i punti deboli dei siti Web che gestiscono l'autenticazione a più fattori e strumenti di hacking come Muraen e NecroBrowser .

Lo scambio di SIM, noto anche come truffa port-out, è un attacco durante il quale i truffatori prendono di mira una vulnerabilità in un sistema di verifica che richiede un codice di sicurezza, che dovrebbe essere ricevuto tramite un telefono cellulare. Per eseguire un simile attacco, i criminali informatici devono trasferire il numero di telefono di una vittima designata su un dispositivo a loro appartenente. La maggior parte delle compagnie telefoniche fornisce tali servizi agli utenti che perdono le loro carte SIM e desiderano conservare i loro vecchi numeri di telefono. Pertanto, per eseguire con successo attacchi di scambio SIM, gli hacker devono apprendere informazioni sufficienti su una vittima designata in modo che possano impersonarlo e convincere il suo operatore telefonico a trasferire il numero di telefono necessario su una nuova carta SIM. Tieni presente che nel caso in cui i criminali informatici avessero successo, la scheda SIM originale dell'utente dovrebbe essere bloccata. Pertanto, se noti che la tua carta SIM non funziona più, dovresti contattare la tua compagnia telefonica il più rapidamente possibile e verificare se qualcuno potrebbe aver scambiato illegalmente la tua carta SIM.

Successivamente, abbiamo strumenti di hacking chiamati Muraen e NecroBrowser . Sono stati introdotti nella conferenza Hack-in-the-Box che si è svolta ad Amsterdam, nel giugno 2019. Gli strumenti sono stati creati per attacchi di phishing automatizzati che potrebbero aggirare l'autenticazione a due fattori. Durante questi, gli strumenti citati creano una copia di un sito Web attraverso il quale è possibile accedere all'account di destinazione. La differenza tra i siti Web di phishing tradizionali e i siti falsi creati con l'aiuto degli strumenti Muraen e NecroBrowser è che i successivi possono richiedere codici di verifica da siti originali. Pertanto, un utente che tenta di accedere tramite il sito Web falso riceverà un codice di verifica dal sito legittimo. Una volta inserito tale codice, gli hacker non solo possono utilizzarlo per accedere all'account di destinazione, ma anche ottenere cookie di sessione o token di sessione che possono utilizzare per accessi futuri.

Con quale frequenza gli hacker ignorano l'autenticazione a più fattori?

Se stai seguendo le notizie sulla sicurezza informatica, potresti aver notato che i ricercatori segnalano di volta in volta nuovi attacchi ai sistemi di autenticazione a più fattori. Potresti anche aver letto che non ci sono informazioni statistiche su tali attacchi che si verificano raramente. Ci sono un paio di ragioni per questo. In primo luogo, nonostante i consigli degli esperti di sicurezza informatica di utilizzare l'autenticazione a più fattori, ci sono ancora molti utenti che non si preoccupano di abilitarlo. Ciò significa che i criminali informatici non devono attaccare account protetti con tali misure di sicurezza in quanto vi sono molti obiettivi meno protetti. In secondo luogo, l'hacking in un account con autenticazione a più fattori non è facile come l'hacking di un account protetto solo da una password. Tali attacchi richiedono più tempo, denaro e strumenti di hacking più avanzati. In altre parole, mentre attaccare un account di un'azienda che è pesantemente protetto potrebbe essere più gratificante, molti hacker trovano più facile e più redditizio depredare obiettivi più deboli.

È ancora consigliabile utilizzare l'autenticazione a più fattori?

In breve, la risposta è assolutamente sì. Anche se l'autenticazione a più fattori potrebbe non riuscire a proteggere gli account a volte, è comunque la soluzione migliore per proteggerti online. Come accennato in precedenza, tali attacchi raramente si verificano poiché molti criminali informatici scelgono obiettivi più accessibili. Naturalmente, se più utenti iniziano a utilizzare l'autenticazione a più fattori, gli hacker potrebbero non avere altra scelta che attaccare gli account protetti in futuro. Tuttavia, per ora, i livelli di sicurezza aggiuntivi dell'autenticazione a più fattori possono proteggere dagli attacchi di phishing tradizionali e da altri attacchi progettati solo per account protetti da password.

È necessaria una password complessa se si abilita l'autenticazione a più fattori?

Infine, potresti chiederti se è utile utilizzare una password complessa se abiliti l'autenticazione a più fattori. Ancora una volta, la risposta sarebbe sì. Quando si tratta di proteggere le informazioni personali, il tuo conto bancario o qualsiasi altra cosa sensibile che gli hacker potrebbero trovare sui tuoi account, dovresti sfruttare ogni misura di sicurezza che puoi utilizzare. Inoltre, ci sono ancora siti Web, piattaforme e applicazioni che non forniscono l'autenticazione a più fattori. In questi casi, la sicurezza dei tuoi account potrebbe dipendere dalla password che hai impostato.

Senza dubbio, il modo più semplice per creare password complesse e garantire che non le dimenticherai mai è di utilizzare un gestore di password. Per assicurarsi che anche le tue credenziali di accesso siano protette, ti consigliamo di utilizzare un gestore password dedicato e non funzionalità integrate fornite con i browser. Se desideri uno strumento in grado di garantire la sicurezza e fornire gratuitamente molte funzioni utili, ti suggeriamo di provare Cyclonis Password Manager . Funziona su tutti i principali sistemi operativi. Inoltre, può generare passcode forti e ricordarli per te, nonché accedere automaticamente ai tuoi account. Per conoscere tutte le funzionalità che può offrire, continua a leggere qui .

Tutto sommato, anche se l'autenticazione a più fattori può essere aggirata, sembra comunque essere il modo migliore per proteggere i propri account. Naturalmente, ci sono molte opzioni di autenticazione a più fattori e alcune sono più sicure di altre. Pertanto, se sei in grado di scegliere, dovresti ricercare tutte le opzioni disponibili e scegliere quella considerata la più forte. Inoltre, invece di dipendere ciecamente da livelli di sicurezza aggiuntivi, non dovresti mai perdere la guardia e fare attenzione ai siti Web di phishing e assicurarti che gli hacker non possano facilmente scambiare la tua scheda SIM. Inoltre, non fa mai male rimanere in cima alle notizie sulla sicurezza informatica e imparare a evitare di diventare vittima delle ultime truffe.