L'autenticazione a due fattori può essere ''bucata''! Dall'Italia arriva la scoperta ma non c'è soluzione

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...ne_106327.html

La scoperta è avvenuta all'Università del Salento e tre ricercatori sono riusciti ad aggirare la sicurezza con l'autenticazione a due fattori avvisando tutte le maggiori compagnie tech da Google ad Apple, le quali però non sembrano avere soluzioni o alternative al momento.

Click sul link per visualizzare la notizia.

[Unrue]

Tecnicamente non è il 2FA ad essere bucato, ma al solito si parte da una mail con link fasullo. Alla fine basta non accedere a siti bancari tramite link ma inserendo direttamente l'indirizzo.

[TorettoMilano]

non ho ben capito, senza polemica, la scoperta dello studio.
passando live i dati all'hacker puoi bucare l'autenticazione a due fattori (escludendo un'autenticazione biometrica). ma aggiungerei anche a quattordici fattori.
dov'è la novità?

[fabius21]

Quote:

Originariamente inviato da TorettoMilano

non ho ben capito, senza polemica, la scoperta dello studio.
passando live i dati all'hacker puoi bucare l'autenticazione a due fattori (escludendo un'autenticazione biometrica). ma aggiungerei anche a quattordici fattori.
dov'è la novità?

Ovviamente

Però quello che non comprendo è l'apertura di un secondo browser

[wolverine]

Figa che stress! (cit. Therinai)

[bagnino89]

Quote:

Originariamente inviato da TorettoMilano

non ho ben capito, senza polemica, la scoperta dello studio.
passando live i dati all'hacker puoi bucare l'autenticazione a due fattori (escludendo un'autenticazione biometrica). ma aggiungerei anche a quattordici fattori.
dov'è la novità?

Nessuna, ed il titolo è ovviamente fuorviante per attirare click.

Pessima HWU, pessima.

[MikTaeTrioR]

pare che conoscendo la chiave privata sia possibile bucare anche SHA256

SHOCK!!

[DevilsAdvocate]

Se ho capito bene (e non è un clickbait) in pratica fanno un man-in-the-middle "web", cioè ti reindirizzano non ad un sito falso, ma ad una "cornice" che poi pesca realmente dal sito della banca. A quel punto ti autentichi (ed i fattori possono essere anche 100'000, non c'è modo di proteggersi) e fai tutto.
Quando fai un'operazione dispositiva però, scatta invece la loro e da cellulare/chiavetta autentichi la loro.

Ma la novità dove sta, nel fatto di riuscire a non essere detectati?

[MikTaeTrioR]

Quote:

Originariamente inviato da DevilsAdvocate

Se ho capito bene (e non è un clickbait) in pratica fanno un man-in-the-middle "web", cioè ti reindirizzano non ad un sito falso, ma ad una "cornice" che poi pesca realmente dal sito della banca. A quel punto ti autentichi (ed i fattori possono essere anche 100'000, non c'è modo di proteggersi) e fai tutto.
Quando fai un'operazione dispositiva però, scatta invece la loro e da cellulare/chiavetta autentichi la loro.

Ma la novità dove sta, nel fatto di riuscire a non essere detectati?

no, è sempre phishing ma quello che vittima inserisce nel sito finto viene in realtime inserito nel sito vero della banca...un ologramma diciamo

[marcram]

Ho trovato una falla anch'io sulla 2fa!
Se do al mio vicino nome utente, password e chiavetta coi codici, lui riesce ad accedere ai miei account!
Incredibile e sconvolgente!

[sniperspa]

Dio mio è da quando esiste la MFA che i malware bancari usano questi sistemi

Alla faccia della scoperta

[Hiei3600]

Quote:

(...) avvisando tutte le maggiori compagnie tech da Google ad Apple, le quali però non sembrano avere soluzioni o alternative al momento.

Google ed Apple non hanno risposto a questi ricercatori perché sono troppo impegnate a ridere - che figura di m*rda e bel titolo clickbait... complimenti in special modo alla redazione per aver aiutato nella diffusione di questa notizia che ridicolizza questi ricercatori agli occhi di tutti.

[Gringo [ITF]]

Altra falla scoperta per il Biometrico.....
..... se vi sparisce l'indice della mano significa che
..... un HACKER CATTIVO vi ha preso sotto mira.

Passiamo alla nuova notizia:
Due ricercatori italiani hanno scoperto che ponendo una fonte energetica su del liquido che cade quando piove, questo aumenta la sua motilità molecolare...
Note: La scoperta è stata brevettata e si chiamerà 温かい水

AMAZING !!!!

[frankie]

C'è anche da dire che anche se ti intercettano per cambiare l'iban, il codice di autenticazione dura pochi secondi e, se cambi iban, te ne richiedono un altro.
NON notizia.

[Proteo71]

Comunque, (a parte il titolo clickbait),
ma io sono l'unico che si rende conto in un decimo di secondo se una mail proviene da un indirizzo fasullo, e/o mi indirizza ad un sito fasullo ??
Spero proprio di no !!!
Ma possibile che ancora oggi la gente proprio non si renda conto su cosa clicca ??

[TorettoMilano]

Quote:

Originariamente inviato da Proteo71

Comunque, (a parte il titolo clickbait),
ma io sono l'unico che si rende conto in un decimo di secondo se una mail proviene da un indirizzo fasullo, e/o mi indirizza ad un sito fasullo ??
Spero proprio di no !!!
Ma possibile che ancora oggi la gente proprio non si renda conto su cosa clicca ??

la realtà è che c'è un sacco di gente imbranata al mondo.
personalmente mi mettono paura più gli sms che le mail, una volta mi arrivò un sms dalle poste che come mittente aveva il nome corretto quindi non c'è modo di verificare la veridicità dell'sms se non googlando/chiamando il numero verde

[MorgaNet]

Quote:

Originariamente inviato da TorettoMilano

la realtà è che c'è un sacco di gente imbranata al mondo.
personalmente mi mettono paura più gli sms che le mail, una volta mi arrivò un sms dalle poste che come mittente aveva il nome corretto quindi non c'è modo di verificare la veridicità dell'sms se non googlando/chiamando il numero verde

Infatti io non clicco MAI un link in un sms perchè è troppo difficile capire se è autentico o no.

Relativamente alla mail di phishing, immagino che a volte possa capitare di essere sbadati. Immagino vengano spedite milioni di email ogni giorno, quindi prima o poi un tonno che clicca lo trovi...

[WarDuck]

Dando una rapida occhiata all'articolo sul "Browser-In-The-Middle", in sostanza alla vittima viene mostrato un sito web che si connette usando una libreria JavaScript in VNC ad una istanza di browser in esecuzione sul server dell'attaccante, di fatto quindi l'utente è come se usasse un browser remoto (controllato dall'attaccante).

La cosa interessante di questo approccio è che non c'è bisogno che l'attaccante duplichi il sito, ma soprattutto rende l'attacco utilizzabile per qualunque sito web.

Chiaramente il primo step dell'attacco rimane comunque quello di trovare una maniera per indirizzare la vittima lì.

[frncr]

Quote:

Originariamente inviato da WarDuck

Dando una rapida occhiata all'articolo sul "Browser-In-The-Middle", in sostanza alla vittima viene mostrato un sito web che si connette usando una libreria JavaScript in VNC ad una istanza di browser in esecuzione sul server dell'attaccante, di fatto quindi l'utente è come se usasse un browser remoto (controllato dall'attaccante).

La cosa interessante di questo approccio è che non c'è bisogno che l'attaccante duplichi il sito, ma soprattutto rende l'attacco utilizzabile per qualunque sito web.

Chiaramente il primo step dell'attacco rimane comunque quello di trovare una maniera per indirizzare la vittima lì.

Tutto quello che vuoi, ma restano due fatti di base:
1. L'utente deve abboccare a qualche tipo di messaggio di phishing per essere indirizzato sul server malevolo;
2. L'utente non deve far caso a quanto è visualizzato nella barra dell'indirizzo del suo browser, che ovviamente non corrisponde all'URL del sito che crede di visitare.
Ovvero questa del "browser in the middle" è una delle tante tecniche che possono funzionare solo nei confronti di vittime affette da analfabetismo informatico, le quali purtroppo sono esposte a ogni tipo di minaccia e questa non mi pare che aggiunga nulla.

[mtk]

per me e' molto piu' bucabile l autenticazione a due fattrici