Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Mar 30, 2022 Redazione news Attacchi, News, RSS 0
L’autenticazione a due fattori (2FA) è uno strumento di protezione molto efficace. Richiede che l’utente usi un secondo fattore di autenticazione oltre alla password, per esempio un token fisico, un’impronta digitale o un’OTP, per accedere a un account.
Negli ultimi mesi, però la gang per l’estorsione Lapsus$ e gruppi di hacker che lavorano per il governo russo come Cozy Bear sono riusciti a superare alcune forme meno solide di questa protezione, come riporta un articolo di Arstechinca.
Le forme di 2FA più sicure sono basate sul framework FIDO2, che permette all’utente di usare un lettore di impronte digitali, la fotocamera del proprio dispositivo mobile o chiavette di sicurezza per confermare la propria identità.
Dato che sono relativamente nuove, molti servizi non le hanno ancora adottate e si basano su forme di 2FA meno recenti, come le OTP (One-Time password, ossia password usabili una sola volta) inviate via SMS o generate da app come Google Authenticator, oppure notifiche push inviate a un dispositivo mobile.
Quando l’utente fa il login con una password valida, deve fare anche questa seconda autenticazione. Secondo un report di Mandiant, Cozy Bear (noto anche come Nobelium, APT29 e Dukes) sfrutta il fatto che molti provider accettano una notifica push o che l’utente prema un tasto sul cellulare in risposta a una chiamata per bypassare queste protezioni.
I cyber criminali inviano al dispositivo legittimo della vittima una serie di richieste 2FA fino a quando l’utente non accetta l’autenticazione, dando loro accesso all’account.
Anche Lapsus$ ha usato la stessa tecnica. Un membro del gruppo ha scritto sul canale Telegram dei cyber criminali che se si inviano centinaia di richieste a un dipendente di notte mentre cerca di dormire è probabile che accetti, dando accesso ai pirati.
Secondo l’esperto di cybersicurezza e hacker bianco Mike Grover ci sono vari metodi per portare l’utente ad accettare una richiesta di 2FA, tra cui bombardarlo di richieste come nel caso descritto.
Un altro sistema è inviare uno o due prompt al giorno, attraendo meno attenzione ma comunque con buone probabilità di successo oppure telefonare alla vittima fingendosi un dipendente della sua stessa azienda e dicendo che è necessaria la sua autenticazione per una procedura.
Giu 19, 2024 0
Apr 12, 2024 0
Feb 05, 2024 0
Gen 15, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...