Che l’autenticazione a due o più fattori, detta comunemente MFA (MultiFactor Authentication), sia una modalità più sicura per accedere ai portali più importanti per le nostre attività è ormai fuori da ogni dubbio, tuttavia, come ogni sistema informatico, non è esente al 100% dalle minacce degli hacker, che possono trovare comunque il modo di violare gli accessi nonostante il maggior numero di livelli di sicurezza.
Il funzionamento della MFA prevede che oltre alla password un individuo inserisca anche un codice personale inviato al primo tentativo di accesso, come ad esempio un PIN univoco inviato via SMS sul cellulare, oppure un dato biometrico come l’impronta digitale o il riconoscimento facciale tramite smartphone. Esistono comunque metodi per violare, partendo da una campagna phishing, gli accessi multifattore, ad esempio di un servizio Microsoft.
Dopo l’arrivo di una mail che presenta un dominio molto simile a quello ufficiale Microsoft, inviata dopo un attento studio della vittima che presuppone quindi un attacco di social engineering e non casuale, si invita a fare clic su un link per accedere ai propri sistemi. Come in tutti gli attacchi phishing, la maschera di login che apparirà sarà molto simile a quella ufficiale e, dopo aver inserito le credenziali esse verranno salvate dall’attaccante che salverà anche le risposte ricevute come i cookie di sezione per accedere. La richiesta di accesso “reale” viene a questo punto inviata dall’hacker al portale di Microsoft contemporaneamente, che farà pervenire all’utente la richiesta del secondo fattore di autenticazione. A questo punto la vittima crederà di essere in una situazione sicura e darà l’assenso all’accesso, che verrà quindi rubato.
Sebbene questo genere di attacco sia più raro, esso può benissimo essere messo in atto qualora un attaccante cercasse di accedere a sistemi più sensibili di aziende strategiche, con conseguenze potenzialmente molto gravi. È quindi consigliato, come sempre, effettuare controlli serrati innanzitutto agli indirizzi email di coloro che ci inviano messaggi email e, facendo mouse-hover, potremmo accorgerci che l’indirizzo in chiaro non corrisponde con quello reale. Inoltre va da sé che anche gli URL delle maschere di login andranno osservati attentamente perché di sicuro presenteranno anomalie. Un ultimo fattore è quello dei certificati SSL delle relative pagine di accesso, che dovranno essere presenti e validati dalle organizzazioni che erogano il servizio. È possibile inoltre utilizzare controlli direttamente sul browser, che segnaleranno se stiamo navigando pagine sicure o meno così come all’applicazione di semplici filtri geografici. In ultimo ma sicuramente molto importante è come sempre la formazione, sia aziendale che individuale, sulle minacce e su tutte le loro sfaccettature, che se trascurate o sconosciute possono portare, come già accennato, a problemi di grande gravità.
Fonte: 1