A ogni nuova notizia di intrusione diventa sempre più chiaro che le forme esistenti di autenticazione a due fattori (2FA) non costituiscono più la rassicurante protezione di una volta.
L’ultima, forse la più significativa, è che il ricercatore Piotr Duszyński ha reso pubblico uno strumento chiamato Modlishka (“mantide” in polacco), capace di automatizzare il phishing delle password monouso (OTP, one-time passcode) inviate mediante SMS o generate dalle app di autenticazione.
Per certi versi, Modlishka è semplicemente uno strumento che risiede nello stesso server di un sito di phishing e che acquisisce le credenziali e i token 2FA che l’utente viene indotto con l’inganno a inviare.
Però, invece di clonare il sito che vuole imitare (Gmail, per fare un esempio), si comporta come un proxy inverso, caricando abilmente il contenuto utente dal sito legittimo per camuffare l’attacco e renderlo più convincente.
L’utente pensa di interagire con il sito vero perché è effettivamente quello che sta facendo, ma Modlishka nel frattempo si intromette tra i due senza che l’utente se ne renda conto.
Un video dimostrativo spiega in che modo si può usare Modlishka per sottrarre le credenziali di un utente di Google ma lo strumento potrebbe essere usato con altrettanta facilità nei confronti di qualsiasi servizio in cui si utilizza la stessa autenticazione.
Spiega Duszyński:
Questo strumento può essere molto utile per tutti coloro che eseguono i penetration test e desiderano combattere il phishing in modo efficace (anche per chi è impegnato nei red team).
È stato giusto rendere pubblico uno strumento così potente? Presumibilmente sì. Se lo si utilizza per gli scopi previsti, e cioè simulare attacchi di phishing nei confronti dell’autenticazione a due fattore nei penetration test o di social engineering, lo strumento consente di valutare la vulnerabilità di questo tipo di sicurezza.
Quanto al suo possibile uso da parte dei criminali informatici, esistono probabilmente molti altri strumenti in grado di fare la stessa cosa, infatti il phishing dei codici OTP non è una tecnica nuova.
Nel mese di dicembre si è avuta notizia, a pochi giorni di distanza l’uno dall’altro, di due diversi attacchi di phishing che erano riusciti a intercettare i codici OTP nell’ambito di campagne mirate.
Il primo attacco era rivolto a obiettivi USA di alto livello mentre l’altro, documentato da Amnesty International, rientrava in una campagna pensata per violare gli account e-mail di oltre 1.000 attivisti dei diritti umani.
Quest’ultimo attacco si poneva l’ambizioso obiettivo di violare servizi e-mail quali ProtonMail e Tutanota, che hanno livelli aggiuntivi di sicurezza e registrano tutti gli accessi.
Che fare?
Il phishing di OTP ha dei limiti, a partire dalla durata massima di 30 secondi entro i quali il codice catturato deve essere utilizzato visto che viene subito sostituito da quello nuovo. Deve inoltre dare prova di social engineering e convincere innanzitutto l’utente preso di mira a visitare il sito clonato.
Se per l’immissione delle credenziali si utilizza un sistema di gestione delle password, questo non si attiverà in presenza di un dominio di phishing, cosa che desterà sospetti.
La migliore difesa, tuttavia, non è abbandonare la tecnologia 2FA per le password OTP, ma passare a qualcosa di più sicuro, che quasi tutti i siti importanti offrono ormai in via opzionale.
Come dice Duszyński:
Al momento, l’unico modo per affrontare il problema, da un punto di vista tecnico, è affidarsi interamente ai token hardware 2FA, basati sul protocollo U2F.
I token U2F possono essere acquistati da Yubico ma anche direttamente da Google sotto forma della chiavetta Titan. Poiché sono basati sulla crittografia a chiave pubblica, non trasmettono codici suscettibili di phishing.
In teoria sarebbe necessario acquistarne e registrarne due (uno a titolo di backup), per un costo intorno a £40 ($50). Secondo noi l’investimento è giustificato se si considera la quantità di siti che è possibile proteggere con una chiavetta.
Se questo tipo di sicurezza vi sembra costoso, pensate al costo di un account e-mail di cui siano state sottratte le credenziali, o all’account Facebook o Twitter al quale non potete più accedere o che non potete più resettare.
Lascia un commento