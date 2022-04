Tre ricercatori dell’Università del Salento hanno scoperto che l’autenticazione a due fattori (2FA) può essere violata da un hacker esperto sfruttando la tecnica del phishing.

Il raggiro potrebbe compiersi in questo modo: la vittima riceve una email apparentemente autentica dalla sua banca, la quale contiene un link malevolo che una volta cliccato reindirizza il malcapitato al sito bancario fittizio creato ad hoc dall’hacker.

Una volta che l’utente ha inserito le credenziali di accesso e il codice di autenticazione a due fattori nel sito fasullo, l’hacker può facilmente leggere quest’ultimo in tempo reale e inserirlo nel sito ufficiale della banca e ad esempio modificare l’IBAN di un bonifico a suo favore.

Il metodo utilizzato funziona come il controllo di uno schermo da remoto, anche se in questo caso l’utente osserva un sito dell’hacker che a sua volta visualizza il sito ufficiale.

L’autenticazione a due fattori può essere violata, ma non sembra esserci rimedio

I tre ricercatori hanno immediatamente avvisato i principali sviluppatori di browser web come Apple e Google, i quali però non sembrano avere soluzioni o alternative al momento, anche per il fatto che non sembra possibile realizzare una contromisura veramente efficace.

L’unico consiglio utile è quello di stare sempre molto attenti alle email che si ricevono, anche se purtroppo risulta sempre più difficile riconoscere i tentativi di phishing.

