Violare l’autenticazione a due fattori

Già nel 2005, ho scritto in merito al fallimento dell’autenticazione a due fattori per limitare le frodi bancarie.

Ci sono due nuovi attacchi che stiamo iniziando a vedere:

  • Man-in-the-middle. L’attacker crea un sito Web contraffatto della banca e attira l’utente sul sito. L’utente inserisce la password e l’attacker a sua volta la utilizza per accedere al sito web reale della banca. Ben fatto, l’utente non si accorgerà mai che non è sul sito web della banca. Poi l’attacker o disconnette l’utente e compie le transazioni fraudolente che vuole, o permette che le transazioni bancarie dell’utente vengano effettuate, mentre, allo stesso tempo, compie le proprie.
  • Attacco tramite cavallo di Troia. L’attacker installa un cavallo di Troia sul computer dell’utente. Quando l’utente accede al sito della sua banca, l’attacker effettua un piggyback su quella sessione, tramite il Trojan, per compiere qualsiasi operazione fraudolenta desideri.

Vedete come l’autenticazione a due fattori non risolva nulla? Nel primo caso, l’attacker può bypassare la parte dinamica della password della banca, insieme con la parte che non cambia. Nel secondo caso, l’attacker si basa sul login dell’utente

Ecco un esempio:

Il furto è accaduto nonostante l’uso, da parte di Ferma, di una one-time password e un codice a sei cifre rilasciato da un piccolo dispositivo elettronico ogni 30 o 60 secondi. I ladri online si sono adattati a questa protezione aggiuntiva tramite la creazione di programmi speciali – cavalli di Troia in tempo reale – in grado di effettuare le transazioni verso la banca, mentre il titolare del conto è online;trasformando la one-time password nell’anello debole della catena della sicurezza finanziaria. “Penso che sia un modello errato”, sostiene Ferrari.

Naturalmente si tratta di un modello errato. Dobbiamo smettere di cercare di autenticare la persona invece di autenticare la transazione :

L’autenticazione a due fattori risolve i problemi di sicurezza che coinvolgono l’autenticazione. L’attuale ondata di attacchi contro i sistemi finanziari, non sta sfruttando le vulnerabilità del sistema di autenticazione, di conseguenza l’autenticazione a due fattori non funziona.

La sicurezza è sempre una corsa agli armamenti e si potrebbe sostenere che questa situazione rappresenti semplicemente il prezzo da pagare per rimanere a galla. Il problema con questo ragionamento è che ignora le contromisure atte a ridurre le frodi in maniera permanente. Concentrandosi sull’autenticazione dell’individuo piuttosto che autenticare la transazione, le banche sono costrette a difendersi contro le tattiche criminali piuttosto che contro il reato stesso.

Le carte di credito sono un esempio perfetto. Notate come si presti scarsa attenzione all’autenticazione del titolare della carta. Gli impiegati a malapena controllano le firme. Le persone utilizzano le loro carte per telefono e su Internet, dove l’esistenza della carta non è nemmeno verificata. Le società delle carte di credito usano il loro security dollar per autenticare la transazione, non il titolare della carta.

Maggiori informazioni su come limitare il furto di identità.

Fonte: Hacking Two-Factor Authentication

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.