Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/l-autenticazione-a-due-fattori-puo-essere-bucata-dall-italia-arriva-la-scoperta-ma-non-c-e-soluzione_106327.html

La scoperta è avvenuta all'Università del Salento e tre ricercatori sono riusciti ad aggirare la sicurezza con l'autenticazione a due fattori avvisando tutte le maggiori compagnie tech da Google ad Apple, le quali però non sembrano avere soluzioni o alternative al momento.

Click sul link per visualizzare la notizia.

Tecnicamente non è il 2FA ad essere bucato, ma al solito si parte da una mail con link fasullo. Alla fine basta non accedere a siti bancari tramite link ma inserendo direttamente l'indirizzo.

non ho ben capito, senza polemica, la scoperta dello studio.
passando live i dati all'hacker puoi bucare l'autenticazione a due fattori (escludendo un'autenticazione biometrica). ma aggiungerei anche a quattordici fattori.
dov'è la novità?

non ho ben capito, senza polemica, la scoperta dello studio.
passando live i dati all'hacker puoi bucare l'autenticazione a due fattori (escludendo un'autenticazione biometrica). ma aggiungerei anche a quattordici fattori.
dov'è la novità?

Ovviamente :D

Però quello che non comprendo è l'apertura di un secondo browser :stordita:

Figa che stress! (cit. Therinai) :D :stordita:

non ho ben capito, senza polemica, la scoperta dello studio.
passando live i dati all'hacker puoi bucare l'autenticazione a due fattori (escludendo un'autenticazione biometrica). ma aggiungerei anche a quattordici fattori.
dov'è la novità?

Nessuna, ed il titolo è ovviamente fuorviante per attirare click.

Pessima HWU, pessima.

pare che conoscendo la chiave privata sia possibile bucare anche SHA256

SHOCK!!

:asd:

Se ho capito bene (e non è un clickbait) in pratica fanno un man-in-the-middle "web", cioè ti reindirizzano non ad un sito falso, ma ad una "cornice" che poi pesca realmente dal sito della banca. A quel punto ti autentichi (ed i fattori possono essere anche 100'000, non c'è modo di proteggersi) e fai tutto.
Quando fai un'operazione dispositiva però, scatta invece la loro e da cellulare/chiavetta autentichi la loro.

Ma la novità dove sta, nel fatto di riuscire a non essere detectati?

Se ho capito bene (e non è un clickbait) in pratica fanno un man-in-the-middle "web", cioè ti reindirizzano non ad un sito falso, ma ad una "cornice" che poi pesca realmente dal sito della banca. A quel punto ti autentichi (ed i fattori possono essere anche 100'000, non c'è modo di proteggersi) e fai tutto.
Quando fai un'operazione dispositiva però, scatta invece la loro e da cellulare/chiavetta autentichi la loro.

Ma la novità dove sta, nel fatto di riuscire a non essere detectati?

no, è sempre phishing ma quello che vittima inserisce nel sito finto viene in realtime inserito nel sito vero della banca...un ologramma diciamo

Ho trovato una falla anch'io sulla 2fa!
Se do al mio vicino nome utente, password e chiavetta coi codici, lui riesce ad accedere ai miei account!
Incredibile e sconvolgente!

Dio mio è da quando esiste la MFA che i malware bancari usano questi sistemi

Alla faccia della scoperta :doh:

(...) avvisando tutte le maggiori compagnie tech da Google ad Apple, le quali però non sembrano avere soluzioni o alternative al momento.

Google ed Apple non hanno risposto a questi ricercatori perché sono troppo impegnate a ridere - che figura di m*rda e bel titolo clickbait... complimenti in special modo alla redazione per aver aiutato nella diffusione di questa notizia che ridicolizza questi ricercatori agli occhi di tutti.

Altra falla scoperta per il Biometrico.....
..... se vi sparisce l'indice della mano significa che
..... un HACKER CATTIVO vi ha preso sotto mira.

Passiamo alla nuova notizia:
Due ricercatori italiani hanno scoperto che ponendo una fonte energetica su del liquido che cade quando piove, questo aumenta la sua motilità molecolare...
Note: La scoperta è stata brevettata e si chiamerà 温かい水

AMAZING !!!!

C'è anche da dire che anche se ti intercettano per cambiare l'iban, il codice di autenticazione dura pochi secondi e, se cambi iban, te ne richiedono un altro.
NON notizia.

Comunque, (a parte il titolo clickbait),
ma io sono l'unico che si rende conto in un decimo di secondo se una mail proviene da un indirizzo fasullo, e/o mi indirizza ad un sito fasullo ??
Spero proprio di no !!!
Ma possibile che ancora oggi la gente proprio non si renda conto su cosa clicca ??

Comunque, (a parte il titolo clickbait),
ma io sono l'unico che si rende conto in un decimo di secondo se una mail proviene da un indirizzo fasullo, e/o mi indirizza ad un sito fasullo ??
Spero proprio di no !!!
Ma possibile che ancora oggi la gente proprio non si renda conto su cosa clicca ??

la realtà è che c'è un sacco di gente imbranata al mondo.
personalmente mi mettono paura più gli sms che le mail, una volta mi arrivò un sms dalle poste che come mittente aveva il nome corretto quindi non c'è modo di verificare la veridicità dell'sms se non googlando/chiamando il numero verde

la realtà è che c'è un sacco di gente imbranata al mondo.
personalmente mi mettono paura più gli sms che le mail, una volta mi arrivò un sms dalle poste che come mittente aveva il nome corretto quindi non c'è modo di verificare la veridicità dell'sms se non googlando/chiamando il numero verde

Infatti io non clicco MAI un link in un sms perchè è troppo difficile capire se è autentico o no.

Relativamente alla mail di phishing, immagino che a volte possa capitare di essere sbadati. Immagino vengano spedite milioni di email ogni giorno, quindi prima o poi un tonno che clicca lo trovi...

Dando una rapida occhiata all'articolo sul "Browser-In-The-Middle", in sostanza alla vittima viene mostrato un sito web che si connette usando una libreria JavaScript in VNC ad una istanza di browser in esecuzione sul server dell'attaccante, di fatto quindi l'utente è come se usasse un browser remoto (controllato dall'attaccante).

La cosa interessante di questo approccio è che non c'è bisogno che l'attaccante duplichi il sito, ma soprattutto rende l'attacco utilizzabile per qualunque sito web.

Chiaramente il primo step dell'attacco rimane comunque quello di trovare una maniera per indirizzare la vittima lì.

Dando una rapida occhiata all'articolo sul "Browser-In-The-Middle", in sostanza alla vittima viene mostrato un sito web che si connette usando una libreria JavaScript in VNC ad una istanza di browser in esecuzione sul server dell'attaccante, di fatto quindi l'utente è come se usasse un browser remoto (controllato dall'attaccante).

La cosa interessante di questo approccio è che non c'è bisogno che l'attaccante duplichi il sito, ma soprattutto rende l'attacco utilizzabile per qualunque sito web.

Chiaramente il primo step dell'attacco rimane comunque quello di trovare una maniera per indirizzare la vittima lì.

Tutto quello che vuoi, ma restano due fatti di base:
1. L'utente deve abboccare a qualche tipo di messaggio di phishing per essere indirizzato sul server malevolo;
2. L'utente non deve far caso a quanto è visualizzato nella barra dell'indirizzo del suo browser, che ovviamente non corrisponde all'URL del sito che crede di visitare.
Ovvero questa del "browser in the middle" è una delle tante tecniche che possono funzionare solo nei confronti di vittime affette da analfabetismo informatico, le quali purtroppo sono esposte a ogni tipo di minaccia e questa non mi pare che aggiunga nulla.

per me e' molto piu' bucabile l autenticazione a due fattrici :asd:

Io non ho capito la notizia e dove sia la novità.
Quanto descritto è proprio la definizione di phishing. :confused:

Tempo fa per prova ho cliccato su una email di phishing in modalità privata e funzionava proprio in questo modo con tanto di 2FA.

Il titolo e il contenuto dell'articolo di HWU sono fuorvianti.

L'articolo originale introduce la tecnica Browser-In-The-Middle, che espone tutti i dati inviati dall'utente (qualsiasi essi siano).

La tecnica è generale, il discorso del 2FA è solo un possibile caso d'uso se vogliamo.

Tutto quello che vuoi, ma restano due fatti di base:
1. L'utente deve abboccare a qualche tipo di messaggio di phishing per essere indirizzato sul server malevolo;
2. L'utente non deve far caso a quanto è visualizzato nella barra dell'indirizzo del suo browser, che ovviamente non corrisponde all'URL del sito che crede di visitare.
Ovvero questa del "browser in the middle" è una delle tante tecniche che possono funzionare solo nei confronti di vittime affette da analfabetismo informatico, le quali purtroppo sono esposte a ogni tipo di minaccia e questa non mi pare che aggiunga nulla.

L'analfabetismo informatico è molto diffuso in generale, ed infatti nella pratica questi attacchi funzionano benissimo in molti casi.

Purtroppo mi viene da dire che non è tanto a causa delle persone in se, quanto della mancata educazione al riguardo (e mi verrebbe da dire anche della spocchiosità stessa di alcuni informatici, che considerano gli utenti dei loro sistemi esseri inferiori).

Detto questo, assumendo il phishing, il fatto che non devi emulare/clonare ciascun sito web, direi che semplifica il deploy di un attacco di questo tipo, quindi questa tecnica per come la vedo io ha i suoi pro.

Certo, come tutti gli articoli di ricerca, ha i suoi limiti, e spesso tecniche sofisticate poi non è detto vengano adottate nella pratica.

Ovviamente :D

Però quello che non comprendo è l'apertura di un secondo browser :stordita:

quando clicchi sul link ti si apre la cornice del browser senza null'altro.
Dentro la cornice ti compare una sola barra degli indirizzi ( che è quella remota) dove l'indiorizzo è perfettamente lergale.
Addirittura dopo che hai cliccato sul link e visitato la home per l'accesso puoi navigare su ogni sito senza accorgertene.
L'unico metodo per verificare la connessione è aprire un'altra tab e andare su un sito tipo mio-ip ( questo ti mostrerà l'ip remoto e non locale).
Ma non è la mail di fishing il problema reale, quello che è preoccupante è che se sostituiscono il collegamento al browser tu aprirai sempre il browser remoto senza che tu possa accorgertene.
Questi tipi di attacchi non vengono rilevati da AV ( almeno fintanto che il sito remoto non è in black list) e per l'utente non c'è nessuna evidenza per capire se il sistema è compromesso ( ed in realtà non lo è).
Una possibile soluzione potrebbe essere di aprire più tab e controllare se nel task manager risultano le istanze, o controllare l'accesso al proprio router da web ( non vieni reindirizzato al tuo ip interno).
Insomma una volta caduto vittima dell'attacco ( che può avvenire in diversi modi) stai navigando in remoto su un browser remoto.

Come è stato detto molte volte le email di phishing sono così efficaci che forse ci sono pochi malfattori che usano tecniche più sofisticate. Certo però che questo è un phishing in real time e quindi non ruba i dati dell'utente per usarli in un secondo momento ma li usa in tempo reale quindi anche il codice del token fisico o software viene usato immediatamente, in real time.

Visto che si parla di conti correnti e che quindi si parla di bonifici da molte migliaia di euro è supponibile che ci siano dei malfattori che usino tecniche più sofisticate.


Nulla vieta di usare una delle centinaia di app presente sul playstore che hanno virus per sfruttare una debolezza software dei telefonini e per modificare il browser in modo che quando si digita la propria banca compare l'indirizzo corretto sul browser ma invece ci si colleghi al browser del malvivente.

Prezzo elevato di tutto questo? non credo, il prezzo vale sempre la candela quando puoi fare un bonifico da 5000,10000 o più euro per ogni telefonino bucato.

quando clicchi sul link ti si apre la cornice del browser senza null'altro.
Dentro la cornice ti compare una sola barra degli indirizzi ( che è quella remota) dove l'indiorizzo è perfettamente lergale.


Sicuro? L'articolo cui si riferisce la notizia mi pare dica il contrario; questa è l'immagine che mostra evidenziate in rosso le anomalie che restano visibili (fra le quali l'indirizzo IP nella barra indirizzi):

https://link.springer.com/article/10.1007/s10207-021-00548-5/figures/13

Poi, come detto prima, il problema resta sempre il buon funzionamento dell'apparato che sta fra le orecchie dell'utente, senza il supporto di quello non c'è e non ci sarà mai tecnologia di sicurezza che tenga.

Ridicolo che un portale come hwu faccia sti articoli da studio aperto.

Ane camina!

Sicuro? L'articolo cui si riferisce la notizia mi pare dica il contrario; questa è l'immagine che mostra evidenziate in rosso le anomalie che restano visibili (fra le quali l'indirizzo IP nella barra indirizzi):

https://link.springer.com/article/10.1007/s10207-021-00548-5/figures/13

Poi, come detto prima, il problema resta sempre il buon funzionamento dell'apparato che sta fra le orecchie dell'utente, senza il supporto di quello non c'è e non ci sarà mai tecnologia di sicurezza che tenga.

dall'articolo mi era sembrato di capire che era una modalità simil kiosk chrome con controllo remote del browser ( tipo invito ad anydesk o simili)

dall'articolo mi era sembrato di capire che era una modalità simil kiosk chrome con controllo remote del browser ( tipo invito ad anydesk o simili)
L'ho letto velocemente ma non ho trovato quello che dici (il che non esclude in assoluto che possa essere fatto).

Nelle conclusioni dell'articolo si legge fra l'altro:

"From the user’s point of view, that is from the client side, the best practice to avoid such attacks is to put extreme care in identifying the target web page, by one of the many ways systems use to allow a preview of the address before clicking on an URL (e.g. many systems allow reading when hovering over a link with the mouse pointer) and, after that, carefully checking the URL when it appears in the address field of the browser."

una volta mi arrivò un sms dalle poste che come mittente aveva il nome corretto quindi non c'è modo di verificare la veridicità dell'sms se non googlando/chiamando il numero verde

spesso arrivano anche a me, fortuna che il link era sospetto ma ben studiato e quasi, quasi..... Chissà quanta gente ci è cascata.



Anni fa, in coda sulla salaria, mia sorella riceve una chiamata da una donna che asserisce di essere stata chiamata poco prima, 1 secondo dopo aver riattaccato lo stesso numero e la stessa donna chiama sul mio cellulare e sempre con la stessa scusa. Mai capito lo scopo di tali chiamate visto che il credito non è stato intaccato in nessuno dei due casi.

Anni fa, in coda sulla salaria, mia sorella riceve una chiamata da una donna che asserisce di essere stata chiamata poco prima, 1 secondo dopo aver riattaccato lo stesso numero e la stessa donna chiama sul mio cellulare e sempre con la stessa scusa. Mai capito lo scopo di tali chiamate visto che il credito non è stato intaccato in nessuno dei due casi.

Dò per scontato che tu e tua sorella avete numeri consecutivi, giusto ??
Altrimenti sarebbe la madre di tutte le coincidenze !!! :D

Leggo tanta superficialità nei commenti, ci sono attacchi di social engineering veramente sofisticati li fuori che ritenersi al 100% immuni è da fessi.

Uno di questi è il tabnabbing, che più o meno funziona così:

1. Ti mando una email del cavolo che linka al mio finto sito di news, potrebbe essere un giornale o un qualsiasi altro finto sito di notizie di attualità, finto ma in generale dal contenuto in apparenza innocuo.

2. Tu clicchi magari incuriosito dalla notizia. Niente di troppo eccitante, solo un po di news spazzatura.

3. Ti dimentichi la tab del browser aperta e salti ad altre tab.

4. In background l innocuo sito di news via JavaScript cambia totalmente l interfaccia a replicare quella del sito della tua banca. Il tutto avviene mentre tu sei afk o navigando su altre tab.

5. Tu magari dopo 1 o 2 ore ora vuoi veramente andare sul sito della banca e causalmente ti trovi la pagina aperta proprio sul login in una delle tab. Inserisci le credenziali e... Bam, rubate.

Praticamente tu hai cliccato su un link malevolo, ma in apparenza sembrava solo spam, non phishing. Il sito malevolo si trasforma in phishing dietro le quinte, mentre tu stai visitando altre pagine.

Leggo tanta superficialità nei commenti, ci sono attacchi di social engineering veramente sofisticati li fuori che ritenersi al 100% immuni è da fessi.

Uno di questi è il tabnabbing, che più o meno funziona così:

1. Ti mando una email del cavolo che linka al mio finto sito di news, potrebbe essere un giornale o un qualsiasi altro finto sito di notizie di attualità, finto ma in generale dal contenuto in apparenza innocuo.

2. Tu clicchi magari incuriosito dalla notizia. Niente di troppo eccitante, solo un po di news spazzatura.

3. Ti dimentichi la tab del browser aperta e salti ad altre tab.

4. In background l innocuo sito di news via JavaScript cambia totalmente l interfaccia a replicare quella del sito della tua banca. Il tutto avviene mentre tu sei afk o navigando su altre tab.

5. Tu magari dopo 1 o 2 ore ora vuoi veramente andare sul sito della banca e causalmente ti trovi la pagina aperta proprio sul login in una delle tab. Inserisci le credenziali e... Bam, rubate.

Praticamente tu hai cliccato su un link malevolo, ma in apparenza sembrava solo spam, non phishing. Il sito malevolo si trasforma in phishing dietro le quinte, mentre tu stai visitando altre pagine.

Ok, tutto giusto quello che dici, ma sarai d’accordo che comunque di base il problema principale è sempre la coglionaggine della gente:
Se io devo andare sul mio home banking, io apro una nuova tab, io digito l’url, mi loggo, faccio ciò che devo, mi sloggo, e chiudo la tab.
Ed è esattamente così che chiunque dovrebbe fare !!!
Se poi la gente invece ha troppa fretta di tornare su feisbuc a scrivere buongiornissimo con la foto del caffè…. bhe gli sta bene !!

Leggo tanta superficialità nei commenti, ci sono attacchi di social engineering veramente sofisticati li fuori che ritenersi al 100% immuni è da fessi.
Purtroppo la superficialità sta tutta nella sottovalutazione generale del gravissimo problema della mancata alfabetizzazione informatica della popolazione (inclusa l'alfabetizzazione dei dipendenti pubblici che lavorano in smart working con credenziali amministrative di sistemi critici...).

Uno di questi è il tabnabbing, che più o meno funziona così:

1. Ti mando una email del cavolo che linka al mio finto sito di news, potrebbe essere un giornale o un qualsiasi altro finto sito di notizie di attualità, finto ma in generale dal contenuto in apparenza innocuo.

[CUT]

E la cosa dovrebbe fermarsi già qui: una persona alfabetizzata sa che non deve mai aprire i link trovati nelle mail di spam.
Nel caso poi dovesse succedere, per cadere nel tranello del "tabnabbing" è necessario anche che l'utente immetta in un secondo momento le sue credenziali omettendo di verificare l'indirizzo della pagina e fidandosi dell'apparenza verosimile della medesima.
Ovvero gli stessi due identici errori che possono far cadere nel tranello del "browser in the middle" di cui alla notizia, niente di più e niente di meno.

Non dico che debbano tutti fare come il sottoscritto e permettere javascript solo su whitelist (cosa comunque raccomandabile), ma perlomeno le due regole basilari di cui sopra andrebbero insegnate a TUTTI alla prima occasione in cui gli si mette un computer con accesso a Internet (o uno smartphone) in mano.

Purtroppo la superficialità sta tutta nella sottovalutazione generale del gravissimo problema della mancata alfabetizzazione informatica della popolazione (inclusa l'alfabetizzazione dei dipendenti pubblici che lavorano in smart working con credenziali amministrative di sistemi critici...).



E la cosa dovrebbe fermarsi già qui: una persona alfabetizzata sa che non deve mai aprire i link trovati nelle mail di spam.
Nel caso poi dovesse succedere, per cadere nel tranello del "tabnabbing" è necessario anche che l'utente immetta in un secondo momento le sue credenziali omettendo di verificare l'indirizzo della pagina e fidandosi dell'apparenza verosimile della medesima.
Ovvero gli stessi due identici errori che possono far cadere nel tranello del "browser in the middle" di cui alla notizia, niente di più e niente di meno.

Non dico che debbano tutti fare come il sottoscritto e permettere javascript solo su whitelist (cosa comunque raccomandabile), ma perlomeno le due regole basilari di cui sopra andrebbero insegnate a TUTTI alla prima occasione in cui gli si mette un computer con accesso a Internet (o uno smartphone) in mano.

Ripeto, state banalizzando.

Io sono iscritto a Quora, ogni giorno ricevo un digest di post.

Immagina ora che un utente malevolo mi invii una email identica al digest di Quora. Io potrei cliccare su un link perché è quello che faccio quotidianamente. Tale link mi porterebbe ad un perfetto clone di Quora e io non noterei nulla.

Poi magari lascio la tab aperta ma faccio altro. Dietro le quinte il JavaScript mi altera l aspetto del sito apparentemente innocuo trasformandolo in quello della banca. Ora magari io avevo un'altra tab aperta con l home banking, ma nel selezionarla invece clicco su questa pagina "Quora" finta, che ora è identica in tutto e per tutto al sito della mia banca e inserisco le credenziali che così mi vengono sottratte.

Questo può parere un caso estremo, ma francamente è assolutamente realistico e non vedo tutte queste enormi colpe imputabili all utente nel caso di una interazione del genere, a meno che non mi dite che non bisogna navigare su tab multiple.

Per non parlare del "reverse tabnabbing", dove un sito legittimo viene di nascosto cambiafo in un sito di phishing...

Questo è per dire che dovete stare in campana, gli attacchi di social engineering possono essere molto più sofisticati delle classiche email sgrammaticate che arrivano solitamente, e liquidare tutta la responsabilità sull utente è un approccio troppo superficiale

Io sono iscritto a Quora, ogni giorno ricevo un digest di post.

Immagina ora che un utente malevolo mi invii una email identica al digest di Quora. Io potrei cliccare su un link perché è quello che faccio quotidianamente. Tale link mi porterebbe ad un perfetto clone di Quora e io non noterei nulla.

Poi magari lascio la tab aperta ma faccio altro. Dietro le quinte il JavaScript mi altera l aspetto del sito apparentemente innocuo trasformandolo in quello della banca. Ora magari io avevo un'altra tab aperta con l home banking, ma nel selezionarla invece clicco su questa pagina "Quora" finta, che ora è identica in tutto e per tutto al sito della mia banca e inserisco le credenziali che così mi vengono sottratte.

Sorvolando sul fatto che stai mettendo in fila una serie di circostanze (ed errori) che è improbabile si verifichino tutte assieme, mi limito a dirti questo: se tu sei solito scrivere le tue credenziali della banca in una scheda del browser già aperta e senza controllarne prima l'indirizzo, allora rientri a pieno titolo fra gli utenti "sprovveduti". Queste cose semplicemente non vanno fatte, senza se e senza ma, fa parte dell'ABC della prevenzione.
Dopodiché, esistono tecniche di ingegneria sociale molto più sofisticate e che possono a volte ingannare anche un utente accorto, ma si tratta di attacchi progettati su misura per fregare specifiche persone oggetto di attenzione e che richiedono un certo investimento di risorse da parte dell'attaccante; le campagne di phishing di massa sono invece sempre facilmente individuabili e rese innocue con delle semplici pratiche di "igiene" informatica. Il motivo per cui funzionano sono i grandi numeri e appunto il diffuso analfabetismo informatico e la mancata applicazione delle più elementari precauzioni. Quindi sì, ribadisco che il principale problema nel contrasto a queste attività criminali è l'educazione dell'utente, ovvero di tutta la popolazione visto che oggi nessuno può esimersi da usare servizi online, identità digitali e quant'altro.

Ahahahah... questi hanno "scoperto" i siti fake che rimandano a quelli veri, rubando le credenziali di accesso nel frattempo (e non importa che siano solo username e password, il token di accesso vale comunque, perché funzionano in tempo reale).. ma è una tecnica che è in giro da anni (decenni?).
Che diavolo c'entra l'MFA, se sei così sprovveduto da non verificare il link (basta un mouse-hovering), è possibile loggare tutto, altro che MFA. Ma poi ancora a cliccare link nelle email? Ma devi essere proprio ZZZZZZZ per accedere alla tua banca tramite un link in email invece che utilizzare quello che hai (presumibilmente) salvato nel browser.
Oggi ho letto la notizia che rimbalzava sui vari siti "specializzati" o meno, credo che abbiano fatto un po' tutto copia e incolla tra di loro, senza rendersi conto che la "news" non esisteva. Probabilmente erano a corto di notizie sul covid o sulla guerra, dovremmo chiedere alla redazione di HWU.

In pratica l'hacker ricopia tutto ciò che sta scrivendo la vittima. Quindi, se ho ben capito, gli è possibile inviare un bonifico a se stesso (inserendo un diverso Iban) solo se la vittima ne invia uno.

Basterebbe una conferma dell'ip no? Cioè, se i dati vengono inseriti da un ip anomalo (in questo caso quello dell'hacker) basterebbe una notifica immediata alla vittima dicendo "oh, guarda che stai effettuando l'accesso da un'altro punto del mondo, se così non fosse chiudi tutto e chiamaci".

Problema risolto, no? 11 mesi persi.

Mi è capitato di leggere la notizia altrove, ed è uscito che la scoperta è di un anno fà, e che l'autenticazione a 2 fattori non è più così sicura, non che è bucabile.
Però mi rimane sempre il dubbio come possano aprire un browser sul pc

In pratica l'hacker ricopia tutto ciò che sta scrivendo la vittima. Quindi, se ho ben capito, gli è possibile inviare un bonifico a se stesso (inserendo un diverso Iban) solo se la vittima ne invia uno.

Basterebbe una conferma dell'ip no? Cioè, se i dati vengono inseriti da un ip anomalo (in questo caso quello dell'hacker) basterebbe una notifica immediata alla vittima dicendo "oh, guarda che stai effettuando l'accesso da un'altro punto del mondo, se così non fosse chiudi tutto e chiamaci".

Problema risolto, no? 11 mesi persi.
Non penso che sia così artigianale, sarà tutto molto più automatizzato o complicato, perchè il codice opt ha una validità minima.

Sorvolando sul fatto che stai mettendo in fila una serie di circostanze (ed errori) che è improbabile si verifichino tutte assieme, mi limito a dirti questo: se tu sei solito scrivere le tue credenziali della banca in una scheda del browser già aperta e senza controllarne prima l'indirizzo, allora rientri a pieno titolo fra gli utenti "sprovveduti". Queste cose semplicemente non vanno fatte, senza se e senza ma, fa parte dell'ABC della prevenzione.
Dopodiché, esistono tecniche di ingegneria sociale molto più sofisticate e che possono a volte ingannare anche un utente accorto, ma si tratta di attacchi progettati su misura per fregare specifiche persone oggetto di attenzione e che richiedono un certo investimento di risorse da parte dell'attaccante; le campagne di phishing di massa sono invece sempre facilmente individuabili e rese innocue con delle semplici pratiche di "igiene" informatica. Il motivo per cui funzionano sono i grandi numeri e appunto il diffuso analfabetismo informatico e la mancata applicazione delle più elementari precauzioni. Quindi sì, ribadisco che il principale problema nel contrasto a queste attività criminali è l'educazione dell'utente, ovvero di tutta la popolazione visto che oggi nessuno può esimersi da usare servizi online, identità digitali e quant'altro.

Non è improbabile ache si verifichi se
1. L'attacco è mirato e su misura per la vittima.
2. L'attacco è su larga scala (milioni di persone). Qualcuno che rimane vittima su una larga scala lo trovi.

Riguardo ai tuoi commenti, ripeto banalizzi il problema scaricando il barile al 100% sull utente.
Nessuno sta attento il 100% dei casi, assicurandosi che le tab aperte non siano state manipolate in background e controllando l url ogni santa volta. Ora stiamo parlando di banche ma in generale non ti è mai accaduto che ti scadesse la sessione su un sito che usi e devi riloggarti? E tu mi vuoi garantire che in tutti i casi all 100% hai sempre chiuso e riaperto la tab ogni santissima volta oppure controllato l url??

Il vero problema è che HTML +JS è uno stack non pensato con la sicurezza dell'utente in testa, tanto è che la sicurezza viene solo da una combinazione di protezioni codificate nel browser e protezioni aggiunte dagli sviluppatore dei siti web a botte di CSRF token, Secure Headers, CORS, e quant'altro

Poi continua a pensarla come vuoi, io dico solo che tutto lo stack è marcio e banalizzare i problemi scaricando il barile sull utente non migliorerà le cose

quando clicchi sul link ti si apre la cornice del browser senza null'altro.
Dentro la cornice ti compare una sola barra degli indirizzi ( che è quella remota) dove l'indiorizzo è perfettamente lergale.
Addirittura dopo che hai cliccato sul link e visitato la home per l'accesso puoi navigare su ogni sito senza accorgertene.
L'unico metodo per verificare la connessione è aprire un'altra tab e andare su un sito tipo mio-ip ( questo ti mostrerà l'ip remoto e non locale).
Ma non è la mail di fishing il problema reale, quello che è preoccupante è che se sostituiscono il collegamento al browser tu aprirai sempre il browser remoto senza che tu possa accorgertene.
Questi tipi di attacchi non vengono rilevati da AV ( almeno fintanto che il sito remoto non è in black list) e per l'utente non c'è nessuna evidenza per capire se il sistema è compromesso ( ed in realtà non lo è).
Una possibile soluzione potrebbe essere di aprire più tab e controllare se nel task manager risultano le istanze, o controllare l'accesso al proprio router da web ( non vieni reindirizzato al tuo ip interno).
Insomma una volta caduto vittima dell'attacco ( che può avvenire in diversi modi) stai navigando in remoto su un browser remoto.

Capito e mi è venuti in mente qualche volta che mi sia aperta una pagina simile. Ma cmq cliccare sui link e inserire delle credenziali fittizie a volte è un mio passatempo.
Però continuo a non capire il modo, visto che si parla che funziona senza hackerare il dispositivo in uso. Cioè se mi apre una pagina con l'indizzo giusto, come fà a fare un redirect della schermata del browser remoto. Tipo X di linux?

Poi continua a pensarla come vuoi, io dico solo che tutto lo stack è marcio e banalizzare i problemi scaricando il barile sull utente non migliorerà le cose
Concordo, anche se a volte l'utente se la cerca. :muro: :muro:

Ad esempio una settimana fà un'azienda mi chiama al cell, e sembravano convincenti, finchè non mi hanno chiesto il numero di carta. Ovviamente gli ho chiesto la partita iva per far verificare il loro bilancio, e se ciò che avesse detto era vero, alla fine lo mandato in austria nella frazione di fucking :D

Ho scoperto che se mi rubano le chiavi, possono entrarmi in casa eludendo il sistema meccanico della serratura. Grazie ricercatori, mi avete aperto gli occhi.

Non è improbabile ache si verifichi se
1. L'attacco è mirato e su misura per la vittima.

Gli attacchi mirati a cui ho fatto accenno sono tutt'altra cosa, e non succedono a te o a me ma solo a specifiche persone che sono interessanti per gli scopi dei criminali di turno.

. L'attacco è su larga scala (milioni di persone). Qualcuno che rimane vittima su una larga scala lo trovi.

Come ho già detto uno dei motivi per cui il phishing di massa funziona è proprio perché è indirizzato indistintamente a una enormità di persone (in pratica a tutti coloro che hanno un indirizzo email), e molte di queste persone non conoscono e/o non applicano le più elementari norme di prevenzione.

Riguardo ai tuoi commenti, ripeto banalizzi il problema scaricando il barile al 100% sull utente.
Io non banalizzo proprio nulla. Piuttosto, fare come te e ridurre tutto il problema dei crimini informatici a questioni meramente tecniche è semplicistico e molto ingenuo (lasciamo che gli esperti risolvano in problemi tecnici per tutti) ed è totalmente inefficace perché la stragrande maggioranza delle violazioni avviene solo o anche grazie ai comportamenti incauti degli utenti, perciò è evidente che il provvedimento più utile per contrastare tali violazioni sarebbe educare gli utenti, prima ancora di escogitare contromisure tecniche ulteriori. Nessuna delle tecniche di cui si sta parlando, a partire da quella di cui alla "notizia", avrebbe alcuna possibilità di essere efficace se l'utente applicasse le più banali misure di prevenzione (come controllare l'indirizzo della pagina che chiede le credenziali).

Nessuno sta attento il 100% dei casi, assicurandosi che le tab aperte non siano state manipolate in background e controllando l url ogni santa volta.
Tu puoi parlare solo per te. Io non sono né un super esperto di sicurezza informatica né un paranoico, ma non esiste nel modo più assoluto che io possa eseguire un login su un servizio critico come una banca senza aver prima verificato l'indirizzo. Ripeto: non esiste! Chi non fa almeno questo è uno sprovveduto, e questo è il primo problema da affrontare, non certo farsi belli descrivendo per filo e per segno lo stack sw che il criminale di turno potrebbe usare per l'attacco "browser in the middle" o altri.

Ora stiamo parlando di banche ma in generale non ti è mai accaduto che ti scadesse la sessione su un sito che usi e devi riloggarti? E tu mi vuoi garantire che in tutti i casi all 100% hai sempre chiuso e riaperto la tab ogni santissima volta oppure controllato l url??
Ripeto: su servizi critici si deve controllare l'indirizzo prima del login (e magari anche perdere quel secondo extra per ciccare sull'icona del certificato e vedere che corrisponda), e quando si è finito ciò che si deve fare si chiude la sessione. Il login sui servizi non critici e che si usano in continuazione non si fa nemmeno, bastano i cookies per autenticarsi.

Il vero problema è che HTML +JS [CUT]
Per quanto mi riguarda javascript si attiva solo su whitelist, perciò è impossibile che io finisca inavvertitamente in bocca a qualche trappolone come quelli descritti, ma in ogni caso TUTTE le tecniche qui descritte non sono basate su "buchi" dello stack ma sulla disattenzione dell'utente.

E' da miopi e da feticisti della tecnologia pensare che il problema fondamentale sia creare sistemi "inviolabili" e non invece insegnare agli utilizzatori come non farsi raggirare, applicando delle semplici precauzioni.
E' come pensare che basterebbe costruire cassaforti indistruttibili, senza insegnare ai loro proprietari come custodire le relative chiavi e non farsele fregare dal primo criminale un po' più furbo della media.

Gli attacchi mirati a cui ho fatto accenno sono tutt'altra cosa, e non succedono a te o a me ma solo a specifiche persone che sono interessanti per gli scopi dei criminali di turno.


Come ho già detto uno dei motivi per cui il phishing di massa funziona è proprio perché è indirizzato indistintamente a una enormità di persone (in pratica a tutti coloro che hanno un indirizzo email), e molte di queste persone non conoscono e/o non applicano le più elementari norme di prevenzione.


Io non banalizzo proprio nulla. Piuttosto, fare come te e ridurre tutto il problema dei crimini informatici a questioni meramente tecniche è semplicistico e molto ingenuo (lasciamo che gli esperti risolvano in problemi tecnici per tutti) ed è totalmente inefficace perché la stragrande maggioranza delle violazioni avviene solo o anche grazie ai comportamenti incauti degli utenti, perciò è evidente che il provvedimento più utile per contrastare tali violazioni sarebbe educare gli utenti, prima ancora di escogitare contromisure tecniche ulteriori. Nessuna delle tecniche di cui si sta parlando, a partire da quella di cui alla "notizia", avrebbe alcuna possibilità di essere efficace se l'utente applicasse le più banali misure di prevenzione (come controllare l'indirizzo della pagina che chiede le credenziali).


Tu puoi parlare solo per te. Io non sono né un super esperto di sicurezza informatica né un paranoico, ma non esiste nel modo più assoluto che io possa eseguire un login su un servizio critico come una banca senza aver prima verificato l'indirizzo. Ripeto: non esiste! Chi non fa almeno questo è uno sprovveduto, e questo è il primo problema da affrontare, non certo farsi belli descrivendo per filo e per segno lo stack sw che il criminale di turno potrebbe usare per l'attacco "browser in the middle" o altri.


Ripeto: su servizi critici si deve controllare l'indirizzo prima del login (e magari anche perdere quel secondo extra per ciccare sull'icona del certificato e vedere che corrisponda), e quando si è finito ciò che si deve fare si chiude la sessione. Il login sui servizi non critici e che si usano in continuazione non si fa nemmeno, bastano i cookies per autenticarsi.


Per quanto mi riguarda javascript si attiva solo su whitelist, perciò è impossibile che io finisca inavvertitamente in bocca a qualche trappolone come quelli descritti, ma in ogni caso TUTTE le tecniche qui descritte non sono basate su "buchi" dello stack ma sulla disattenzione dell'utente.

E' da miopi e da feticisti della tecnologia pensare che il problema fondamentale sia creare sistemi "inviolabili" e non invece insegnare agli utilizzatori come non farsi raggirare, applicando delle semplici precauzioni.
E' come pensare che basterebbe costruire cassaforti indistruttibili, senza insegnare ai loro proprietari come custodire le relative chiavi e non farsele fregare dal primo criminale un po' più furbo della media.

Per il reverse tabnabbing ci sono best practices per eliminare il rischio, ma leggendoti scommetto che se tu fossi uno sviluppatore te ne sbatteresti perché "la colpa è degli utenti che cliccano". Questa è la mentalità che sto criticando

ma non c'è soluzione
Invece c'e': smetterla una buona volta di cliccare sui link delle email


.

Invece c'e': smetterla una buona volta di cliccare sui link delle email



https://i.kym-cdn.com/photos/images/newsfeed/000/550/714/8ae.gif

Invece c'e': smetterla una buona volta di cliccare sui link delle email


.
Anche i programmi di posta... già bloccano il caricamento automatico delle immagini remote, potrebbero ben bloccare i click sui link nelle email che non sono in whitelist...

Dò per scontato che tu e tua sorella avete numeri consecutivi, giusto ??
Altrimenti sarebbe la madre di tutte le coincidenze !!! :D

per niente, numeri e prefissi totalmente diversi e operatori diversi: 3(tim) e wind.
IMHO credo che sia stato un tentativo di truffa ma faccio fatica a capire come sia tecnicamente possibile, l'altra ipotesi è un qualche guasto problema alle celle o alle apparecchiature collegate.

Dando una rapida occhiata all'articolo sul "Browser-In-The-Middle", in sostanza alla vittima viene mostrato un sito web che si connette usando una libreria JavaScript in VNC ad una istanza di browser in esecuzione sul server dell'attaccante, di fatto quindi l'utente è come se usasse un browser remoto (controllato dall'attaccante).
continuo a non capire (per limiti miei certamente).
che significa "viene mostrato un sito web che si connette usando una libreria JavaScript in VNC ad una istanza di browser in esecuzione sul server dell'attaccante"?!?:confused:
io uso il browser pincopallo, scrivo l'url www.banca.it, o clicco un link www.banca.it... come fanno a farmi vedere "un altro browser"?!?:stordita:

...Tu magari dopo 1 o 2 ore ora vuoi veramente andare sul sito della banca e causalmente ti trovi la pagina aperta proprio sul login in una delle tab. Inserisci le credenziali e... Bam, rubate.
casualmente? :mbe:
casualmente non apro tab di login per lasciare lì a marcire per ore...:mbe:

...Poi continua a pensarla come vuoi, io dico solo che tutto lo stack è marcio e banalizzare i problemi scaricando il barile sull utente non migliorerà le cose
marci sono i siti che richiedono js per fare effettini, cazzatine, menu o altre vaccate psichedeliche varie.
detesto i siti che funzionano solo con js. :mad:

...Per quanto mi riguarda javascript si attiva solo su whitelist.
esatto. :mano:
e molto spesso, volta per volta.

La scoperta dell' acqua calda...

Interessante questo necroposting..... :muro: