L'autenticazione a due fattori può essere ''bucata''! Dall'Italia arriva la scoperta ma non c'è soluzione

[Mister24]

Io non ho capito la notizia e dove sia la novità.
Quanto descritto è proprio la definizione di phishing.

Tempo fa per prova ho cliccato su una email di phishing in modalità privata e funzionava proprio in questo modo con tanto di 2FA.

[WarDuck]

Il titolo e il contenuto dell'articolo di HWU sono fuorvianti.

L'articolo originale introduce la tecnica Browser-In-The-Middle, che espone tutti i dati inviati dall'utente (qualsiasi essi siano).

La tecnica è generale, il discorso del 2FA è solo un possibile caso d'uso se vogliamo.

Quote:

Originariamente inviato da frncr

Tutto quello che vuoi, ma restano due fatti di base:
1. L'utente deve abboccare a qualche tipo di messaggio di phishing per essere indirizzato sul server malevolo;
2. L'utente non deve far caso a quanto è visualizzato nella barra dell'indirizzo del suo browser, che ovviamente non corrisponde all'URL del sito che crede di visitare.
Ovvero questa del "browser in the middle" è una delle tante tecniche che possono funzionare solo nei confronti di vittime affette da analfabetismo informatico, le quali purtroppo sono esposte a ogni tipo di minaccia e questa non mi pare che aggiunga nulla.

L'analfabetismo informatico è molto diffuso in generale, ed infatti nella pratica questi attacchi funzionano benissimo in molti casi.

Purtroppo mi viene da dire che non è tanto a causa delle persone in se, quanto della mancata educazione al riguardo (e mi verrebbe da dire anche della spocchiosità stessa di alcuni informatici, che considerano gli utenti dei loro sistemi esseri inferiori).

Detto questo, assumendo il phishing, il fatto che non devi emulare/clonare ciascun sito web, direi che semplifica il deploy di un attacco di questo tipo, quindi questa tecnica per come la vedo io ha i suoi pro.

Certo, come tutti gli articoli di ricerca, ha i suoi limiti, e spesso tecniche sofisticate poi non è detto vengano adottate nella pratica.

[Piedone1113]

Quote:

Originariamente inviato da fabius21

Ovviamente

Però quello che non comprendo è l'apertura di un secondo browser

quando clicchi sul link ti si apre la cornice del browser senza null'altro.
Dentro la cornice ti compare una sola barra degli indirizzi ( che è quella remota) dove l'indiorizzo è perfettamente lergale.
Addirittura dopo che hai cliccato sul link e visitato la home per l'accesso puoi navigare su ogni sito senza accorgertene.
L'unico metodo per verificare la connessione è aprire un'altra tab e andare su un sito tipo mio-ip ( questo ti mostrerà l'ip remoto e non locale).
Ma non è la mail di fishing il problema reale, quello che è preoccupante è che se sostituiscono il collegamento al browser tu aprirai sempre il browser remoto senza che tu possa accorgertene.
Questi tipi di attacchi non vengono rilevati da AV ( almeno fintanto che il sito remoto non è in black list) e per l'utente non c'è nessuna evidenza per capire se il sistema è compromesso ( ed in realtà non lo è).
Una possibile soluzione potrebbe essere di aprire più tab e controllare se nel task manager risultano le istanze, o controllare l'accesso al proprio router da web ( non vieni reindirizzato al tuo ip interno).
Insomma una volta caduto vittima dell'attacco ( che può avvenire in diversi modi) stai navigando in remoto su un browser remoto.

[Sandro kensan]

Come è stato detto molte volte le email di phishing sono così efficaci che forse ci sono pochi malfattori che usano tecniche più sofisticate. Certo però che questo è un phishing in real time e quindi non ruba i dati dell'utente per usarli in un secondo momento ma li usa in tempo reale quindi anche il codice del token fisico o software viene usato immediatamente, in real time.

Visto che si parla di conti correnti e che quindi si parla di bonifici da molte migliaia di euro è supponibile che ci siano dei malfattori che usino tecniche più sofisticate.


Nulla vieta di usare una delle centinaia di app presente sul playstore che hanno virus per sfruttare una debolezza software dei telefonini e per modificare il browser in modo che quando si digita la propria banca compare l'indirizzo corretto sul browser ma invece ci si colleghi al browser del malvivente.

Prezzo elevato di tutto questo? non credo, il prezzo vale sempre la candela quando puoi fare un bonifico da 5000,10000 o più euro per ogni telefonino bucato.

[frncr]

Quote:

Originariamente inviato da Piedone1113

quando clicchi sul link ti si apre la cornice del browser senza null'altro.
Dentro la cornice ti compare una sola barra degli indirizzi ( che è quella remota) dove l'indiorizzo è perfettamente lergale.

Sicuro? L'articolo cui si riferisce la notizia mi pare dica il contrario; questa è l'immagine che mostra evidenziate in rosso le anomalie che restano visibili (fra le quali l'indirizzo IP nella barra indirizzi):

https://link.springer.com/article/10...8-5/figures/13

Poi, come detto prima, il problema resta sempre il buon funzionamento dell'apparato che sta fra le orecchie dell'utente, senza il supporto di quello non c'è e non ci sarà mai tecnologia di sicurezza che tenga.

[Verter]

Ridicolo che un portale come hwu faccia sti articoli da studio aperto.

Ane camina!

[Piedone1113]

Quote:

Originariamente inviato da frncr

Sicuro? L'articolo cui si riferisce la notizia mi pare dica il contrario; questa è l'immagine che mostra evidenziate in rosso le anomalie che restano visibili (fra le quali l'indirizzo IP nella barra indirizzi):

https://link.springer.com/article/10...8-5/figures/13

Poi, come detto prima, il problema resta sempre il buon funzionamento dell'apparato che sta fra le orecchie dell'utente, senza il supporto di quello non c'è e non ci sarà mai tecnologia di sicurezza che tenga.

dall'articolo mi era sembrato di capire che era una modalità simil kiosk chrome con controllo remote del browser ( tipo invito ad anydesk o simili)

[frncr]

Quote:

Originariamente inviato da Piedone1113

dall'articolo mi era sembrato di capire che era una modalità simil kiosk chrome con controllo remote del browser ( tipo invito ad anydesk o simili)

L'ho letto velocemente ma non ho trovato quello che dici (il che non esclude in assoluto che possa essere fatto).

Nelle conclusioni dell'articolo si legge fra l'altro:

"From the user’s point of view, that is from the client side, the best practice to avoid such attacks is to put extreme care in identifying the target web page, by one of the many ways systems use to allow a preview of the address before clicking on an URL (e.g. many systems allow reading when hovering over a link with the mouse pointer) and, after that, carefully checking the URL when it appears in the address field of the browser."

[Emin001]

Quote:

Originariamente inviato da TorettoMilano

una volta mi arrivò un sms dalle poste che come mittente aveva il nome corretto quindi non c'è modo di verificare la veridicità dell'sms se non googlando/chiamando il numero verde

spesso arrivano anche a me, fortuna che il link era sospetto ma ben studiato e quasi, quasi..... Chissà quanta gente ci è cascata.



Anni fa, in coda sulla salaria, mia sorella riceve una chiamata da una donna che asserisce di essere stata chiamata poco prima, 1 secondo dopo aver riattaccato lo stesso numero e la stessa donna chiama sul mio cellulare e sempre con la stessa scusa. Mai capito lo scopo di tali chiamate visto che il credito non è stato intaccato in nessuno dei due casi.

[Proteo71]

Quote:

Originariamente inviato da Emin001

Anni fa, in coda sulla salaria, mia sorella riceve una chiamata da una donna che asserisce di essere stata chiamata poco prima, 1 secondo dopo aver riattaccato lo stesso numero e la stessa donna chiama sul mio cellulare e sempre con la stessa scusa. Mai capito lo scopo di tali chiamate visto che il credito non è stato intaccato in nessuno dei due casi.

Dò per scontato che tu e tua sorella avete numeri consecutivi, giusto ??
Altrimenti sarebbe la madre di tutte le coincidenze !!!

[xarz3]

Leggo tanta superficialità nei commenti, ci sono attacchi di social engineering veramente sofisticati li fuori che ritenersi al 100% immuni è da fessi.

Uno di questi è il tabnabbing, che più o meno funziona così:

1. Ti mando una email del cavolo che linka al mio finto sito di news, potrebbe essere un giornale o un qualsiasi altro finto sito di notizie di attualità, finto ma in generale dal contenuto in apparenza innocuo.

2. Tu clicchi magari incuriosito dalla notizia. Niente di troppo eccitante, solo un po di news spazzatura.

3. Ti dimentichi la tab del browser aperta e salti ad altre tab.

4. In background l innocuo sito di news via JavaScript cambia totalmente l interfaccia a replicare quella del sito della tua banca. Il tutto avviene mentre tu sei afk o navigando su altre tab.

5. Tu magari dopo 1 o 2 ore ora vuoi veramente andare sul sito della banca e causalmente ti trovi la pagina aperta proprio sul login in una delle tab. Inserisci le credenziali e... Bam, rubate.

Praticamente tu hai cliccato su un link malevolo, ma in apparenza sembrava solo spam, non phishing. Il sito malevolo si trasforma in phishing dietro le quinte, mentre tu stai visitando altre pagine.

[Proteo71]

Quote:

Originariamente inviato da xarz3

Leggo tanta superficialità nei commenti, ci sono attacchi di social engineering veramente sofisticati li fuori che ritenersi al 100% immuni è da fessi.

Uno di questi è il tabnabbing, che più o meno funziona così:

1. Ti mando una email del cavolo che linka al mio finto sito di news, potrebbe essere un giornale o un qualsiasi altro finto sito di notizie di attualità, finto ma in generale dal contenuto in apparenza innocuo.

2. Tu clicchi magari incuriosito dalla notizia. Niente di troppo eccitante, solo un po di news spazzatura.

3. Ti dimentichi la tab del browser aperta e salti ad altre tab.

4. In background l innocuo sito di news via JavaScript cambia totalmente l interfaccia a replicare quella del sito della tua banca. Il tutto avviene mentre tu sei afk o navigando su altre tab.

5. Tu magari dopo 1 o 2 ore ora vuoi veramente andare sul sito della banca e causalmente ti trovi la pagina aperta proprio sul login in una delle tab. Inserisci le credenziali e... Bam, rubate.

Praticamente tu hai cliccato su un link malevolo, ma in apparenza sembrava solo spam, non phishing. Il sito malevolo si trasforma in phishing dietro le quinte, mentre tu stai visitando altre pagine.

Ok, tutto giusto quello che dici, ma sarai d’accordo che comunque di base il problema principale è sempre la coglionaggine della gente:
Se io devo andare sul mio home banking, io apro una nuova tab, io digito l’url, mi loggo, faccio ciò che devo, mi sloggo, e chiudo la tab.
Ed è esattamente così che chiunque dovrebbe fare !!!
Se poi la gente invece ha troppa fretta di tornare su feisbuc a scrivere buongiornissimo con la foto del caffè…. bhe gli sta bene !!

[frncr]

Quote:

Originariamente inviato da xarz3

Leggo tanta superficialità nei commenti, ci sono attacchi di social engineering veramente sofisticati li fuori che ritenersi al 100% immuni è da fessi.

Purtroppo la superficialità sta tutta nella sottovalutazione generale del gravissimo problema della mancata alfabetizzazione informatica della popolazione (inclusa l'alfabetizzazione dei dipendenti pubblici che lavorano in smart working con credenziali amministrative di sistemi critici...).

Quote:

Originariamente inviato da xarz3

Uno di questi è il tabnabbing, che più o meno funziona così:

1. Ti mando una email del cavolo che linka al mio finto sito di news, potrebbe essere un giornale o un qualsiasi altro finto sito di notizie di attualità, finto ma in generale dal contenuto in apparenza innocuo.

[CUT]

E la cosa dovrebbe fermarsi già qui: una persona alfabetizzata sa che non deve mai aprire i link trovati nelle mail di spam.
Nel caso poi dovesse succedere, per cadere nel tranello del "tabnabbing" è necessario anche che l'utente immetta in un secondo momento le sue credenziali omettendo di verificare l'indirizzo della pagina e fidandosi dell'apparenza verosimile della medesima.
Ovvero gli stessi due identici errori che possono far cadere nel tranello del "browser in the middle" di cui alla notizia, niente di più e niente di meno.

Non dico che debbano tutti fare come il sottoscritto e permettere javascript solo su whitelist (cosa comunque raccomandabile), ma perlomeno le due regole basilari di cui sopra andrebbero insegnate a TUTTI alla prima occasione in cui gli si mette un computer con accesso a Internet (o uno smartphone) in mano.

[xarz3]

Quote:

Originariamente inviato da frncr

Purtroppo la superficialità sta tutta nella sottovalutazione generale del gravissimo problema della mancata alfabetizzazione informatica della popolazione (inclusa l'alfabetizzazione dei dipendenti pubblici che lavorano in smart working con credenziali amministrative di sistemi critici...).



E la cosa dovrebbe fermarsi già qui: una persona alfabetizzata sa che non deve mai aprire i link trovati nelle mail di spam.
Nel caso poi dovesse succedere, per cadere nel tranello del "tabnabbing" è necessario anche che l'utente immetta in un secondo momento le sue credenziali omettendo di verificare l'indirizzo della pagina e fidandosi dell'apparenza verosimile della medesima.
Ovvero gli stessi due identici errori che possono far cadere nel tranello del "browser in the middle" di cui alla notizia, niente di più e niente di meno.

Non dico che debbano tutti fare come il sottoscritto e permettere javascript solo su whitelist (cosa comunque raccomandabile), ma perlomeno le due regole basilari di cui sopra andrebbero insegnate a TUTTI alla prima occasione in cui gli si mette un computer con accesso a Internet (o uno smartphone) in mano.

Ripeto, state banalizzando.

Io sono iscritto a Quora, ogni giorno ricevo un digest di post.

Immagina ora che un utente malevolo mi invii una email identica al digest di Quora. Io potrei cliccare su un link perché è quello che faccio quotidianamente. Tale link mi porterebbe ad un perfetto clone di Quora e io non noterei nulla.

Poi magari lascio la tab aperta ma faccio altro. Dietro le quinte il JavaScript mi altera l aspetto del sito apparentemente innocuo trasformandolo in quello della banca. Ora magari io avevo un'altra tab aperta con l home banking, ma nel selezionarla invece clicco su questa pagina "Quora" finta, che ora è identica in tutto e per tutto al sito della mia banca e inserisco le credenziali che così mi vengono sottratte.

Questo può parere un caso estremo, ma francamente è assolutamente realistico e non vedo tutte queste enormi colpe imputabili all utente nel caso di una interazione del genere, a meno che non mi dite che non bisogna navigare su tab multiple.

Per non parlare del "reverse tabnabbing", dove un sito legittimo viene di nascosto cambiafo in un sito di phishing...

Questo è per dire che dovete stare in campana, gli attacchi di social engineering possono essere molto più sofisticati delle classiche email sgrammaticate che arrivano solitamente, e liquidare tutta la responsabilità sull utente è un approccio troppo superficiale

[frncr]

Quote:

Originariamente inviato da xarz3

Io sono iscritto a Quora, ogni giorno ricevo un digest di post.

Immagina ora che un utente malevolo mi invii una email identica al digest di Quora. Io potrei cliccare su un link perché è quello che faccio quotidianamente. Tale link mi porterebbe ad un perfetto clone di Quora e io non noterei nulla.

Poi magari lascio la tab aperta ma faccio altro. Dietro le quinte il JavaScript mi altera l aspetto del sito apparentemente innocuo trasformandolo in quello della banca. Ora magari io avevo un'altra tab aperta con l home banking, ma nel selezionarla invece clicco su questa pagina "Quora" finta, che ora è identica in tutto e per tutto al sito della mia banca e inserisco le credenziali che così mi vengono sottratte.

Sorvolando sul fatto che stai mettendo in fila una serie di circostanze (ed errori) che è improbabile si verifichino tutte assieme, mi limito a dirti questo: se tu sei solito scrivere le tue credenziali della banca in una scheda del browser già aperta e senza controllarne prima l'indirizzo, allora rientri a pieno titolo fra gli utenti "sprovveduti". Queste cose semplicemente non vanno fatte, senza se e senza ma, fa parte dell'ABC della prevenzione.
Dopodiché, esistono tecniche di ingegneria sociale molto più sofisticate e che possono a volte ingannare anche un utente accorto, ma si tratta di attacchi progettati su misura per fregare specifiche persone oggetto di attenzione e che richiedono un certo investimento di risorse da parte dell'attaccante; le campagne di phishing di massa sono invece sempre facilmente individuabili e rese innocue con delle semplici pratiche di "igiene" informatica. Il motivo per cui funzionano sono i grandi numeri e appunto il diffuso analfabetismo informatico e la mancata applicazione delle più elementari precauzioni. Quindi sì, ribadisco che il principale problema nel contrasto a queste attività criminali è l'educazione dell'utente, ovvero di tutta la popolazione visto che oggi nessuno può esimersi da usare servizi online, identità digitali e quant'altro.

[npole]

Ahahahah... questi hanno "scoperto" i siti fake che rimandano a quelli veri, rubando le credenziali di accesso nel frattempo (e non importa che siano solo username e password, il token di accesso vale comunque, perché funzionano in tempo reale).. ma è una tecnica che è in giro da anni (decenni?).
Che diavolo c'entra l'MFA, se sei così sprovveduto da non verificare il link (basta un mouse-hovering), è possibile loggare tutto, altro che MFA. Ma poi ancora a cliccare link nelle email? Ma devi essere proprio ZZZZZZZ per accedere alla tua banca tramite un link in email invece che utilizzare quello che hai (presumibilmente) salvato nel browser.
Oggi ho letto la notizia che rimbalzava sui vari siti "specializzati" o meno, credo che abbiano fatto un po' tutto copia e incolla tra di loro, senza rendersi conto che la "news" non esisteva. Probabilmente erano a corto di notizie sul covid o sulla guerra, dovremmo chiedere alla redazione di HWU.

[soullessita]

In pratica l'hacker ricopia tutto ciò che sta scrivendo la vittima. Quindi, se ho ben capito, gli è possibile inviare un bonifico a se stesso (inserendo un diverso Iban) solo se la vittima ne invia uno.

Basterebbe una conferma dell'ip no? Cioè, se i dati vengono inseriti da un ip anomalo (in questo caso quello dell'hacker) basterebbe una notifica immediata alla vittima dicendo "oh, guarda che stai effettuando l'accesso da un'altro punto del mondo, se così non fosse chiudi tutto e chiamaci".

Problema risolto, no? 11 mesi persi.

[fabius21]

Mi è capitato di leggere la notizia altrove, ed è uscito che la scoperta è di un anno fà, e che l'autenticazione a 2 fattori non è più così sicura, non che è bucabile.
Però mi rimane sempre il dubbio come possano aprire un browser sul pc

Quote:

Originariamente inviato da soullessita

In pratica l'hacker ricopia tutto ciò che sta scrivendo la vittima. Quindi, se ho ben capito, gli è possibile inviare un bonifico a se stesso (inserendo un diverso Iban) solo se la vittima ne invia uno.

Basterebbe una conferma dell'ip no? Cioè, se i dati vengono inseriti da un ip anomalo (in questo caso quello dell'hacker) basterebbe una notifica immediata alla vittima dicendo "oh, guarda che stai effettuando l'accesso da un'altro punto del mondo, se così non fosse chiudi tutto e chiamaci".

Problema risolto, no? 11 mesi persi.

Non penso che sia così artigianale, sarà tutto molto più automatizzato o complicato, perchè il codice opt ha una validità minima.

[xarz3]

Quote:

Originariamente inviato da frncr

Sorvolando sul fatto che stai mettendo in fila una serie di circostanze (ed errori) che è improbabile si verifichino tutte assieme, mi limito a dirti questo: se tu sei solito scrivere le tue credenziali della banca in una scheda del browser già aperta e senza controllarne prima l'indirizzo, allora rientri a pieno titolo fra gli utenti "sprovveduti". Queste cose semplicemente non vanno fatte, senza se e senza ma, fa parte dell'ABC della prevenzione.
Dopodiché, esistono tecniche di ingegneria sociale molto più sofisticate e che possono a volte ingannare anche un utente accorto, ma si tratta di attacchi progettati su misura per fregare specifiche persone oggetto di attenzione e che richiedono un certo investimento di risorse da parte dell'attaccante; le campagne di phishing di massa sono invece sempre facilmente individuabili e rese innocue con delle semplici pratiche di "igiene" informatica. Il motivo per cui funzionano sono i grandi numeri e appunto il diffuso analfabetismo informatico e la mancata applicazione delle più elementari precauzioni. Quindi sì, ribadisco che il principale problema nel contrasto a queste attività criminali è l'educazione dell'utente, ovvero di tutta la popolazione visto che oggi nessuno può esimersi da usare servizi online, identità digitali e quant'altro.

Non è improbabile ache si verifichi se
1. L'attacco è mirato e su misura per la vittima.
2. L'attacco è su larga scala (milioni di persone). Qualcuno che rimane vittima su una larga scala lo trovi.

Riguardo ai tuoi commenti, ripeto banalizzi il problema scaricando il barile al 100% sull utente.
Nessuno sta attento il 100% dei casi, assicurandosi che le tab aperte non siano state manipolate in background e controllando l url ogni santa volta. Ora stiamo parlando di banche ma in generale non ti è mai accaduto che ti scadesse la sessione su un sito che usi e devi riloggarti? E tu mi vuoi garantire che in tutti i casi all 100% hai sempre chiuso e riaperto la tab ogni santissima volta oppure controllato l url??

Il vero problema è che HTML +JS è uno stack non pensato con la sicurezza dell'utente in testa, tanto è che la sicurezza viene solo da una combinazione di protezioni codificate nel browser e protezioni aggiunte dagli sviluppatore dei siti web a botte di CSRF token, Secure Headers, CORS, e quant'altro

Poi continua a pensarla come vuoi, io dico solo che tutto lo stack è marcio e banalizzare i problemi scaricando il barile sull utente non migliorerà le cose

[fabius21]

Quote:

Originariamente inviato da Piedone1113

quando clicchi sul link ti si apre la cornice del browser senza null'altro.
Dentro la cornice ti compare una sola barra degli indirizzi ( che è quella remota) dove l'indiorizzo è perfettamente lergale.
Addirittura dopo che hai cliccato sul link e visitato la home per l'accesso puoi navigare su ogni sito senza accorgertene.
L'unico metodo per verificare la connessione è aprire un'altra tab e andare su un sito tipo mio-ip ( questo ti mostrerà l'ip remoto e non locale).
Ma non è la mail di fishing il problema reale, quello che è preoccupante è che se sostituiscono il collegamento al browser tu aprirai sempre il browser remoto senza che tu possa accorgertene.
Questi tipi di attacchi non vengono rilevati da AV ( almeno fintanto che il sito remoto non è in black list) e per l'utente non c'è nessuna evidenza per capire se il sistema è compromesso ( ed in realtà non lo è).
Una possibile soluzione potrebbe essere di aprire più tab e controllare se nel task manager risultano le istanze, o controllare l'accesso al proprio router da web ( non vieni reindirizzato al tuo ip interno).
Insomma una volta caduto vittima dell'attacco ( che può avvenire in diversi modi) stai navigando in remoto su un browser remoto.

Capito e mi è venuti in mente qualche volta che mi sia aperta una pagina simile. Ma cmq cliccare sui link e inserire delle credenziali fittizie a volte è un mio passatempo.
Però continuo a non capire il modo, visto che si parla che funziona senza hackerare il dispositivo in uso. Cioè se mi apre una pagina con l'indizzo giusto, come fà a fare un redirect della schermata del browser remoto. Tipo X di linux?