Gio. Dic 12th, 2024

Recentemente, una nuova ondata di attacchi mirati ha preso di mira utenti di Gmail e Microsoft, riuscendo a bypassare l’autenticazione a due fattori (2FA). Secondo un articolo pubblicato su Tech Times il 26 marzo 2024, questi attacchi sono stati effettuati attraverso sofisticate piattaforme di phishing, dimostrando l’evoluzione delle tecniche di ingegneria sociale usate dai cybercriminali. Il report sottolinea come gli hacker abbiano utilizzato strumenti di phishing avanzati per simulare l’esperienza utente legittima, permettendo di aggirare il sistema 2FA, spesso ritenuto uno dei baluardi di sicurezza per la protezione degli account online. Questo episodio evidenzia come anche le misure di sicurezza più diffuse e raccomandate possano essere vulnerabili se non accompagnate da ulteriori livelli di difesa.

L’attacco ha sfruttato una debolezza intrinseca dell’interazione utente con i sistemi di autenticazione, basata su una fiducia implicita e su processi spesso ripetitivi e standardizzati. In particolare, i cybercriminali hanno impiegato servizi di phishing as-a-service (PhaaS), una tendenza crescente che offre agli attaccanti strumenti preconfigurati per facilitare operazioni malevole su larga scala, senza richiedere necessariamente competenze tecniche approfondite. Le piattaforme di phishing utilizzate in questo attacco si sono rivelate in grado di intercettare e registrare i dati di login e i codici di autenticazione in tempo reale, grazie a siti clonati che riproducono fedelmente le pagine di login ufficiali. Gli utenti, credendo di inserire le proprie credenziali su una piattaforma sicura, consegnano inavvertitamente le informazioni sensibili direttamente agli attaccanti.

Analisi tecnica e funzionale dell’attacco

Per comprendere pienamente la dinamica dell’attacco, è utile analizzare come le tecniche di phishing evolute siano riuscite a superare uno dei meccanismi di difesa considerati più efficaci per la protezione degli account personali e aziendali. L’autenticazione a due fattori si basa sul principio di richiedere, oltre alla password, un ulteriore elemento di verifica che solo l’utente dovrebbe possedere. Questo elemento è spesso un codice temporaneo inviato al dispositivo mobile dell’utente o generato da un’applicazione di autenticazione. Tuttavia, gli attacchi più recenti hanno dimostrato che la 2FA, pur aumentando significativamente la sicurezza rispetto al solo utilizzo delle password, non è invulnerabile se il contesto di verifica è compromesso.

Gli hacker hanno sfruttato una tecnica conosciuta come “Man-in-the-Middle” (MitM) per intercettare la comunicazione tra l’utente e il servizio di autenticazione. Utilizzando un sito di phishing perfettamente identico a quello legittimo, i cybercriminali sono stati in grado di agire come intermediari, catturando sia le credenziali dell’utente sia il codice di verifica generato dal sistema 2FA. Questi attacchi sfruttano piattaforme automatiche che, non appena l’utente inserisce le proprie credenziali, inviano in tempo reale le informazioni raccolte al sito legittimo, completando così il processo di autenticazione senza destare sospetti. Questo approccio è noto come “Reverse Proxy Phishing” e rappresenta una delle forme più sofisticate di attacco, poiché è in grado di garantire la riuscita dell’accesso anche in presenza di controlli 2FA.

Uno degli strumenti più utilizzati in questi scenari è Evilginx, un toolkit di phishing che agisce come un proxy tra l’utente e il sito di destinazione, permettendo agli attaccanti di catturare i cookie di sessione e bypassare così l’autenticazione a due fattori. Questo attacco è particolarmente insidioso poiché, una volta ottenuti i cookie di sessione, l’attaccante può accedere all’account della vittima senza bisogno di ulteriori informazioni, eludendo qualsiasi successiva richiesta di autenticazione. Simili strumenti non sono nuovi nel panorama del cybercrimine, ma la loro facilità di accesso, spesso venduti come servizi su darknet e forum specializzati, ne ha ampliato la diffusione e l’impatto.

Un esempio simile di bypass della 2FA è stato osservato in un attacco su larga scala ai danni di utenti Instagram nel 2019, in cui gli aggressori utilizzavano metodi simili per intercettare le credenziali e i codici di autenticazione. Sebbene in quel caso l’attenzione mediatica fosse minore, l’evento aveva già dimostrato come la fiducia cieca nei meccanismi di 2FA potesse risultare rischiosa. Nel caso di Gmail e Microsoft, il trend è proseguito con l’evoluzione delle tecniche di phishing, che sono diventate sempre più sofisticate e mirate grazie all’integrazione di strumenti automatizzati, come l’intelligenza artificiale, per l’identificazione delle vittime più vulnerabili.

Le statistiche sulla compromissione degli account online suggeriscono che il phishing rimane una delle minacce più prevalenti. Secondo un rapporto pubblicato da Verizon nel 2023, il 36% delle violazioni di dati aziendali è stato causato da attacchi di phishing, e di questi, una percentuale crescente ha coinvolto meccanismi di autenticazione multi-fattore. Questo indica come, nonostante l’adozione di tecnologie avanzate per la protezione degli account, l’anello più debole rimanga sempre l’interazione umana. Gli attacchi che riescono a ingannare l’utente in fase di inserimento delle credenziali o nell’interazione con i codici di verifica sono destinati a crescere fintanto che non si svilupperà una maggiore consapevolezza e sofisticazione nei sistemi di autenticazione, come quelli basati su parametri comportamentali o biometrici avanzati.

Da un punto di vista tecnico, è essenziale comprendere che la vulnerabilità sfruttata non è legata a una falla nel sistema 2FA in sé, ma nella fiducia posta dall’utente nei processi che lo circondano. I meccanismi come il “Man-in-the-Browser” (MitB), che consentono agli attaccanti di iniettare codice direttamente nel browser della vittima per modificare in tempo reale le informazioni visualizzate, contribuiscono a rendere questi attacchi estremamente pericolosi. La combinazione tra ingegneria sociale, piattaforme PhaaS e toolkit MitM permette di superare anche i meccanismi più avanzati di protezione.

La sicurezza degli account online dipende non solo dall’efficacia dei meccanismi di autenticazione, ma anche dalla capacità degli utenti di riconoscere e resistere agli attacchi di ingegneria sociale. L’interazione umana resta una componente cruciale e vulnerabile della sicurezza informatica. Gli attacchi MitM, per esempio, non si limitano a compromettere le comunicazioni tra l’utente e il sito legittimo, ma possono anche essere combinati con tecniche di spear phishing per aumentare le probabilità di successo. Lo spear phishing è una forma di phishing altamente mirata in cui gli attaccanti raccolgono informazioni dettagliate sulle vittime per personalizzare i messaggi e aumentare la fiducia delle potenziali vittime. Questo tipo di attacco è particolarmente efficace contro dirigenti aziendali o persone con accesso a informazioni sensibili.

Per ridurre il rischio, le organizzazioni dovrebbero considerare l’implementazione di soluzioni come il WebAuthn, che utilizza chiavi crittografiche univoche collegate al dispositivo dell’utente, rendendo più difficile per un attaccante condurre con successo un attacco di phishing tramite proxy. Parallelamente, è necessario investire in una maggiore formazione degli utenti e nella sensibilizzazione rispetto ai segnali di un possibile attacco di phishing, poiché anche la miglior tecnologia di autenticazione diventa inefficace se l’utente è indotto a condividerne i fattori di sicurezza.

L’adozione di standard di autenticazione più robusti come FIDO2 può ridurre significativamente il rischio di compromissione, in quanto tali standard si basano su chiavi crittografiche che non vengono mai condivise direttamente con i server delle applicazioni, rendendo praticamente impossibile per un attaccante ottenere le informazioni necessarie per bypassare l’autenticazione. Tuttavia, l’implementazione di tali soluzioni richiede investimenti tecnologici e un cambio di mentalità all’interno delle organizzazioni, che devono adottare una visione olistica della sicurezza che vada oltre la semplice applicazione di strumenti tecnologici.

L’introduzione di strumenti di monitoraggio basati sull’intelligenza artificiale può contribuire a individuare comportamenti anomali che potrebbero indicare un tentativo di phishing o di compromissione. Questi strumenti possono analizzare un ampio spettro di variabili, tra cui l’orario di accesso, la posizione geografica e le abitudini di utilizzo degli utenti, segnalando attività sospette che potrebbero richiedere ulteriori verifiche. L’uso dell’intelligenza artificiale può anche facilitare l’automazione dei processi di risposta agli incidenti, permettendo di intervenire rapidamente per bloccare gli attacchi in corso.

La protezione degli account online richiede un approccio multilivello che combini tecnologie avanzate, consapevolezza degli utenti e monitoraggio continuo. Nessun sistema di autenticazione è infallibile, ma attraverso una strategia integrata è possibile ridurre significativamente il rischio di compromissione. La formazione degli utenti, l’adozione di standard di autenticazione come FIDO2 e l’utilizzo di strumenti di monitoraggio basati sull’intelligenza artificiale rappresentano i pilastri di una difesa efficace contro le minacce in continua evoluzione del panorama cyber.

La tabella di seguito riassume alcuni elementi chiave degli attacchi descritti nel testo, evidenziando il tipo di attacco, i metodi utilizzati e le soluzioni di mitigazione proposte:

Elemento ChiaveMetodo di Attacco UtilizzatoMitigazione Proposta
Phishing con 2FA bypassReverse Proxy Phishing, EvilginxWebAuthn, FIDO2, Formazione utenti
Intercettazione Cookie SessioneMan-in-the-Middle (MitM)Protezione crittografica TLS, MFA rafforzata
Ingegneria SocialePhishing as-a-Service (PhaaS)Sensibilizzazione utenti, Monitoraggio AI
Spear PhishingPersonalizzazione messaggiFormazione specifica, Strumenti di monitoraggio basati su AI


Questo articolo scritto da Raffaele DIMARZIO (https://www.linkedin.com/in/raffaeledimarzio/), può essere utilizzato per le analisi AI del podcast prodotto da Cyberium Media Miami per la piattaforma Apple Podcast, e distribuito anche su YouTube Music, Amazon Music, Audible, Spotify, iHeartRadio, e Deezer. Il Podcast è una analisi indipendente e trasparente del mondo della cybersecurity, del cyberlegal e delle compliance, ed esplora le riflessioni e contenuti dell’autore attraverso analisi e tecniche di intelligenza artificiale, basate su da Gemini Pro. Tutti i podcast sono disponibili qui : https://technocratico.it/cyberium-podcast/