L’autenticazione a due fattori non è così sicura: la scoperta di 3 italiani

Da anni i vari software installati nei nostri dispositivi ci propongono di attivare l’autenticazione a due fattori per maggiore privacy e sicurezza. Ma quanto è affidabile questa tecnica di cyber-security? Secondo 3 ricercatori italiani non come pensiamo. Questi, infatti, avrebbero trovato un modo per bypassare anche il più innovativo blocco per gli hacker. Nonostante ciò, le grandi compagnie di informatica non hanno ancora fatto nulla per rimediare alla situazione.

Come funziona l’attacco hacker

In poche parole, l’attacco “inventato” dai 3 ricercatori dell’Università del Salento riprendono molto similarmente le modalità del phishing. All’utente a cui si intendono rubare i dati viene inviato un messaggio in cui, esattamente come al tradizionale phishing, viene richiesto di loggarsi sul sito della banca. Se per un banale cambio password o un malfunzionamento poco importa, l’importante è che l’utente clicchi sul link fornito dall’hacker.

Il “bello” viene dopo. Successivamente, a differenza del passato, l’utente verrà reindirizzato non a un sito farlocco messo a punto dall’hacker. Bensì, il sito mostrato all’utente sarà proprio quello ufficiale della banca, o almeno così sembrerebbe. Il metodo che i ricercatori hanno utilizzato per questo attacco utilizza anche il controllo remoto dello schermo. Il dispositivo controllato, però, non è quello dell’utente hackerato ma quello dello stesso hacker.

Tramite questa tecnica, quindi, l’hacker sarà in grado di visualizzare tutti i movimenti dell’utente (password inserita, il codice inviato per l’autenticazione a due fattori, impronta digitale ecc.). Infine, quando l’utente avrà concluso l’utilizzo della piattaforma in questione, l’hacker rimarrà loggato per fare tutto ciò che vuole.

Autenticazione a due fattori ancora a rischio

A quanto riportato da Repubblica, la grossa falla di sicurezza non sarebbe ancora stata riparata. Dopo più di un anno dalla pubblicazione dei risultati della ricerca sulla rivista internazionale specializzata in materia, l’International Journal of Information Security, la falla sarebbe ancora presente.

Pochi giorni fa il team di ricerca dell’UniSalento che ha portato alla scoperta della falla, composto da Franco Tommasi,  Christian Catalano e Ivan Taurino, ha riprovato l’attacco hacker, confermando la falla. Aziende come Google o Apple ancora non hanno una soluzione dopo un anno dalla comunicazione. Il problema, quindi, al momento rimane e per questo bisogna restare molto attenti per prevenire questo genere di truffa.

Per non perderti mai nulla dall’Italia e dal Mondo continua a seguirci su Nasce, Cresce, Informa.

Potrebbero interessarti anche:

• Cybersecurity: una falla in Java spaventa la Rete
• Elden Ring, arrivata la nuova patch: niente più hacker?