Tre ricercatori dell’Università del Salento hanno scoperto che l’autenticazione a due fattori (2FA) può essere violata da un hacker esperto sfruttando la tecnica del phishing. È un metodo che si basa sull’utilizzo congiunto di due metodi di autenticazione individuali che sfrutta ad esempio un ID, una password, una OTP o un codice ricevuto via email, SMS o app.

Il raggiro potrebbe compiersi in questo modo: la vittima riceve una email apparentemente autentica dalla sua banca, la quale contiene un link malevolo che una volta cliccato reindirizza il malcapitato al sito bancario fittizio creato ad hoc dall’hacker.

Una volta che l’utente ha inserito le credenziali di accesso e il codice di autenticazione a due fattori nel sito fasullo, l’hacker può facilmente leggere quest’ultimo in tempo reale e inserirlo nel sito ufficiale della banca e ad esempio modificare l’IBAN di un bonifico a suo favore.

Il metodo utilizzato funziona come il controllo di uno schermo da remoto, anche se in questo caso l’utente osserva un sito dell’hacker che a sua volta visualizza il sito ufficiale.

autenticazione 2FA violata

L’autenticazione a due fattori può essere violata, ma non sembra esserci rimedio

I tre ricercatori hanno immediatamente avvisato i principali sviluppatori di browser web come Apple e Google, i quali però non sembrano avere soluzioni o alternative al momento, anche per il fatto che non sembra possibile realizzare una contromisura veramente efficace.

Il metodo è stato scoperto quasi un anno fa dai ricercatori italiani e a distanza di un anno l’attacco è stato rivendicato da un hacker malevolo, noto come mr.d0x, che qualche settimana fa ha testato il metodo dimostrandone il funzionamento.

L’unico consiglio utile è quello di stare sempre molto attenti alle email che si ricevono, anche se purtroppo risulta sempre più difficile riconoscere i tentativi di phishing.

Potrebbe interessarti: Google introduce una nuova misura di sicurezza per le applicazioni Android