Aggiornamenti recenti Maggio 3rd, 2024 2:00 PM
Giu 26, 2017 Marco Schiaffino Attacchi, Hacking, News, Phishing, Privacy, RSS 0
Più che una tecnica di attacco, è una truffa “vecchio stile” che permetterebbe ai pirati informatici di estorcere alle loro vittime le informazioni che gli permetterebbero di cambiare la password di un servizio su Internet.
Un attacco PRMitM (Password Reset Man in the Middle) non richiede infatti l’uso di alcun malware, la violazione di un sito Internet o la creazione di una pagina Web di phishing. Come spiegano in un report un gruppo di ricercatori del College of Management Academic Studies in Israele, l’unico strumento che i pirati devono usare è un sito Internet di cui hanno il controllo e che preveda una procedura di registrazione. Il resto è affidato a tecniche di pura ingegneria sociale.
L’idea, in sintesi, è quella di indurre la vittima a registrarsi sul sito e chiedergli delle informazioni che, in contemporanea, permettano di portare a termine la procedura di reset della password del suo servizio di posta elettronica. L’attacco, quindi, deve potersi adattare passo per passo alla procedura di reset della password del servizio di posta elettronica della vittima.
Tutto inizia con la richiesta del nome e dell’indirizzo di posta. Una volta che la vittima li ha inseriti, il pirata conosce sia il servizio di posta, sia il nome utente e può di conseguenza avviare la procedura di reset della password.
Per il criminale, adesso, il problema è quello di fingere di essere il legittimo utilizzatore dell’account. Secondo i ricercatori, l’unico sistema che impedisce di raggiungere l’obiettivo è l’uso di un messaggio di posta con il link per il reset della password, usato per la verità da molti servizi Internet. Nel caso degli account email, però, il “rischio” non sussiste. Come potrebbe infatti l’utente ricevere l’email se ha dimenticato la password?
I sistemi utilizzati per verificare l’identità dell’utente, quindi, di solito sono due: la risposta a domande personali (per esempio il classico “qual è il cognome da nubile di tua madre?”) o l’invio di un codice tramite SMS.
Che PRMitM sia efficace nei confronti del primo metodo è piuttosto evidente. Il pirata non deve fare altro che chiedere alla vittima come requisito per l’iscrizione la risposta alla stessa domanda e, con un po’ di fortuna, otterrà la risposta che gli serve.
Anche nel caso dell’invio di codici via SMS, secondo gli autori della ricerca, ci sono buone possibilità che tutto fili liscio. Basta chiedere alla vittima di fornire il numero di cellulare sostenendo che sia necessario per verificare la sua identità e, quando riceverà l’SMS, c’è la possibilità che non legga tutto il messaggio e pensi che provenga dal sito a cui si sta registrando. Gli esperimenti sul campo fatti dai ricercatori dimostrano che il trucchetto funziona più spesso di quanto non si creda.
Tutto questo funziona per attacchi portati manualmente, ma gli autori della ricerca sostengono che si possa automatizzare il processo senza troppi problemi. L’unico ostacolo che ci si trova di fronte è infatti la possibile richiesta di un CAPTCHA che i siti sottopongono per tenere alla larga i bot. Ma visualizzando la stessa immagine con una tecnica simile a quella del Cross-Site Scripting, anche questo ostacolo è superabile.
L’unico strumento che gli utenti hanno a disposizione per evitare di cadere nel tranello, si deduce dalla ricerca, sono una buona dose di buon senso e l’abitudine a prestare la dovuta attenzione quando si esegue una procedura di registrazione. Distratti e frettolosi sono invece le vittime ideali.
Mar 01, 2024 0
Dic 01, 2023 0
Ott 03, 2023 0
Giu 20, 2023 0
Mag 03, 2024 0
Mag 03, 2024 0
Mag 02, 2024 0
Mag 02, 2024 0
Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mag 03, 2024 0
Zscaler ha annunciato l’acquisizione di Airgap...Mag 03, 2024 0
Sempre più spesso si discute delle crescenti capacità...Mag 02, 2024 0
Il Dipartimento della sicurezza interna degli Stati Uniti...Mag 02, 2024 0
L’ultimo aggiornamento di sicurezza per Windows 11...Apr 30, 2024 0
Nell’ultimo mese Okta ha osservato un preoccupante...