L’utilizzo dell’autenticazione a due fattori (2FA) o, ancora meglio, dell’autenticazione multi fattore (MFA), è forse il consiglio maggiormente dato dagli esperti di sicurezza informatica insieme con l’uso di password lunghe, complesse e univoche. Non a caso Google stessa ha visto che l’obbligatorietà imposta per l’utilizzo della 2FA ha ridotto del 50% la violazione degli account. Ma di 2FA ne esistono di vari tipi.
Al giorno d’oggi, molte applicazioni e servizi utilizzano un servizio automatizzato per inviare codici 2FA tramite SMS al telefono cellulare dell’utente per confermarne l’identità. Ad esempio, alcune app bancarie richiedono all’utente di inserire la propria e-mail o il nome utente e il sistema di back-end della banca invia un codice di autenticazione al telefono cellulare registrato nel database. Una volta che l’utente riceve il codice sul proprio telefono cellulare, può utilizzarlo per accedere al proprio conto bancario tramite l’app mobile o il desktop. Questo sistema che implica l’uso degli SMS però non fornisce una protezione adeguata.
4 vulnerabilità della 2FA via SMS
Stando agli esperti di sicurezza informatica, esistono almeno 4 negatività nell’utilizzo della 2FA via SMS:
- Creazione di un sito web falso (Phishing): l’hacker in qualche modo convince il bersaglio a navigare su un sito web falso, mascherandosi da servizio protetto legittimo (es. conto bancario degli utenti). Una volta sul sito Web falso, l’utente tenta di accedere al proprio account inserendo la propria identificazione utente e attivando un codice 2FA, che inserisce nel sito falso. L’hacker quindi cattura l’ID e il codice, entra nel sito reale e prende il controllo dell’account dell’utente.
- Furto di identità mobile (SIM swap) – l’hacker convince illegittimamente l’operatore telefonico (MNO) del bersaglio (impersonando quest’ultimo) a rilasciare una nuova scheda SIM. Ciò si ottiene sfruttando procedure di sicurezza scadenti ed errori umani da parte del personale dell’MNO. Una volta che la nuova SIM viene utilizzata dall’hacker, tutti gli SMS inviati al bersaglio vengono re-indirizzati, inclusi eventuali codici per la 2FA, che consentono di accedere a siti e app protetti.
- Attacco SS7 (dirottamento SMS) – L’hacker può ottenere l’accesso in modo dannoso alla rete SS7 globale e manipolare la rete MNO del bersaglio in modo che gli SMS del bersaglio vengono re-indirizzati in una posizione falsa, raggiungendo un dispositivo gestito dall’hacker.
- Torre cellulare falsa e attacco Man-in-the-Middle – Utilizzando un ripetitore falso, l’hacker costringe il dispositivo mobile del bersaglio a connettersi a una rete mobile falsa, controllata dall’hacker utilizzando un dispositivo chiamato “ricevitore IMSI”. Una volta che il dispositivo attaccato è agganciato all’IMSI Catcher, l’hacker riceve i dati dal telefono del bersaglio e, nel frattempo, lo impersona collegandosi alla rete reale dell’operatore. L’hacker ha quindi il controllo di tutte le comunicazioni tra il dispositivo di destinazione e la rete e può anche intercettare i codici SMS 2FA per ottenere l’accesso a qualsiasi sistema desiderato.
Alternative alla 2FA via SMS
Le principali due alternative a questa soluzione implicano l’uso di un’applicazione che genera codici OTP che però non mette al riparo da attacchi di phishing e “man-in-the-middle” e l’uso di chiavi di sicurezza fisiche come le Yubikey (la miglior soluzione).
