L’autenticazione a due fattori che può essere “bucata” da un attacco

Rischia di non bastare un programma antivirus installato sul proprio pc o dispositivo, perché la tecnica di questo attacco informatico utilizza un binario parallelo che non sembra essere individuabile da parte dei software dedicati all’individuazione di eventuali vulnerabilità. Parliamo di un attacco, scoperto da tre ricercatori italiani, denominato Broswer-in-the-middle (BiTM) ed è in grado di “bucare”, di fatto, il sistema di autenticazione a due fattori che, idealmente, è quello più sicuro per l’accesso a siti e piattaforme (anche bancarie).

LEGGI ANCHE > I truffatori falsificano Amazon Prime Video (e ti fanno pagare pensando che sia quello vero)

Lo studio è stato condotto (e pubblicato nell’aprile del 2021) da tre ricercatori dell’Università del Salento: Franco Tommasi, Christian Catalano e Ivan Taurino. E la spiegazione di questa complessa analisi che ha individuato questa clamorosa vulnerabilità è sintetizzata in queste righe.

«L’idea alla base di BitM è quella di interporre un browser trasparente dannoso tra il browser della vittima e il server web a cui la vittima accede per ottenere un servizio (es. un servizio bancario, un social network, ecc.). Lo scopo dell’interposizione è quello di intercettare, registrare e manipolare qualsiasi scambio di dati tra la vittima e il prestatore di servizi».

Un concetto che gli autori di questa ricerca hanno sintetizzato in due immagini contenute all’interno del loro studio: la prima mostra il concetto alla base di questo attacco, la seconda – invece – mostra un esempio pratico di come potrebbe avvenire e configurarsi la violazione dell’autenticazione a due fattori.

Lo studio è stato pubblicato esattamente un anno fa (era il 17 aprile del 2021) e, nonostante le comunicazioni inviate anche ai gestori dei browser, la vulnerabilità è ancora attiva e non individuabile dai software antivirus.

Autenticazione a due fattori, scoperto un bug

E il browser è lo strumento attraverso il quale avviene il tutto. Perché il sistema alla base è quello molto simile al phishing, ma poi si snoda diversamente: il pirata informatico invia un link esterno alla “vittima” che, cliccando, non viene riportata su una pagina malevola (come avviene nelle più tradizionali truffe) ma davanti ai suoi occhi si apre una pagina del browser del tutto identico (graficamente) a quello utilizzato dall’utente che, però, è gestito dall’hacker. Insomma, chi si trova davanti a questo schema di Browser-in-the-middle difficilmente si renderà contro dell’attacco che sta subendo.

Ed è proprio questo sistema “trasparente” (ovvero invisibile agli occhi) l’ecosistema in cui opera il pirata informatico: l’utente rischia di pensare di essere collegato a un determinato sito online sul suo classico browser e inserisce, come sempre, le sue credenziali per l’autenticazione a due fattori. Ma quei dati finiscono, attraverso quel browser parallelo invisibile, nelle mani dell’hacker che – oltre a rubarli – può manipolarli. Facciamo un esempio: nel caso di portale bancario, può utilizzare password, nome utente e altri codici inseriti – a sua insaputa – dall’utente su quella che riteneva una pagina “ufficiale” e fare quel che vuole con il conto bancario online della vittima. Stessa cosa vale per qualsiasi altro servizio online.

L’attacco funziona, anche un anno dopo

Insomma, un attacco Browser-in-the-middle rende vulnerabile tutti quei principi di sicurezza attorno a cui è stato creato quel sistema di autenticazione a due fattori. E questo tipo di attacco è ancora funzionante, nonostante lo studio iniziale dei tre ricercatori italiani sia stato pubblicato un anno fa esatto. Nei giorni scorsi, infatti, un altro ricercatore – Mr-.d0x – ha pubblicato su Twitter la conferma di tutto ciò.

Steal Credentials & Bypass 2FA Using noVNChttps://t.co/MUOEtUaKvH pic.twitter.com/V5dU5NKyiZ

— mr.d0x (@mrd0x) February 19, 2022

Aprile 2021 (data del primo studio che ha scoperto il Browser-in-the-middle), febbraio 2022. Dieci mesi in cui non è stata trovata una soluzione a questa violazione che può essere condotta senza limiti, bypassando tutto quel sistema di sicurezza alla base dell’autenticazione a due fattori che, dunque, resta di diventare vana.