Tre ricercatori italiani dimostrano che l’autenticazione a due fattori non è infallibile e nemmeno così sicura

Non è una sorpresa ma riconoscerlo è dura: l’autenticazione a due fattori non mette in una botte di ferro. Tre ricercatori italiani hanno mostrato come un attacco BitM (Browser-in-the Middle) aggira senza problemi questo sistema. 

Uno dei metodi per la sicurezza dei dati personali sempre più adottato è quello dell’autenticazione a due fattori. Per usare il servizio Inbank nella maggior parte dei casi, ma da poco è obbligatorio anche su Gmail.

Il concetto è avere un secondo controllo prima di permettere l’accesso dell’utente ai propri dati personali. Oltre a inserire la solita password (che può essere memorizzata nel dispositivo e quindi poco sicura) si deve inserire un codice di autenticazione monouso. Questo può arrivare via SMS o via email.

Purtroppo però pare che neppure questo sistema sia più affidabile. A dimostrarlo sono stati tre ricercatori italiani:  Franco Tommasi, Christian Catalano e Ivan Taurino. Un anno fa provarono che esiste una tipologia di attacco hacker chiamata BitM in grado di aggirare i due fattori. BitM sta per “Browser in the Middle” e il suo utilizzo è ricorrente in operazioni quali il phishing e lo smishing.

Una volta appurata l’efficacia di BitM e la sua pericolosità il tutto è stato prontamente notificato ai Big Tech. Eppure a un anno di distanza pare che l’autenticazione a due fattori sia ancora vulnerabile a questi attacchi.

BitM e MitM

Secondo alcuni esperti la tipologia di attacco BitM non sarebbe altro che l’evoluzione del più noto MitM, ossia Man-in-the-Middle. Si tratta di uno dei sistemi più preoccupanti per la cybersecurity. Si parla di MitM quando un hacker si inserisce nel traffico dati e negli scambi fra due dispositivi. In questo modo può leggere ad esempio messaggi ed email, se non anche contraffarli cambiandone il contenuto.

La differenza fra MitM e BitM è che il secondo risulta molto più semplice da mettere in pratica e anche più efficace. Letteralmente il browser da cui accede la vittima viene sostituito da un altro predisposto dall’hacker tramite una piattaforma da cui monitorare ogni cosa. Il browser malevolo viene definito “trasparente” poiché non dà segni di essere presente. In più consente all’hacker di visualizzare tutte le azioni della vittima in tempo reale.

Per proteggersi si consiglia di non cliccare mai sui link ricevuti via messaggio, ma piuttosto di collegarsi direttamente ai siti dai propri account.