È ormai risaputo che nomi utente e password non sono sufficienti per accedere in sicurezza ai servizi online. Uno studio recente ha evidenziato che oltre l’80% di tutte le violazioni legate all’hacking si verificano a causa di credenziali compromesse e deboli, con tre miliardi di combinazioni nome utente/password rubate solo nel 2016.
Pertanto, l’implementazione dell’autenticazione a due fattori (2FA) è diventata una necessità. In generale, 2FA mira a fornire un ulteriore livello di sicurezza al sistema nome utente/password relativamente vulnerabile.
Ma come con qualsiasi buona soluzione di sicurezza informatica, gli aggressori possono rapidamente escogitare modi per aggirarla. Possono bypassare la sicurezza 2FA attraverso i codici monouso inviati come SMS allo smartphone di un utente.
Eppure molti servizi online critici in Australia utilizzano ancora codici monouso basati su SMS, tra cui myGov e le 4 grandi banche: ANZ, Commonwealth Bank, NAB e Westpac.
Allora qual è il problema degli SMS?
Una vulnerabilità da non sottovalutare
I principali fornitori come Microsoft hanno esortato gli utenti ad abbandonare le soluzioni 2FA che sfruttano SMS e chiamate vocali. Questo perché gli SMS sono famosi per avere una sicurezza scarsa, lasciandoli aperti a una miriade di attacchi diversi.
Lo scambio di SIM implica che un aggressore convinca il fornitore di servizi mobili di una vittima che lui stesso è la vittima e quindi richieda che il numero di telefono della vittima venga trasferito su un dispositivo di sua scelta.
È stato anche dimostrato che i codici monouso basati su SMS sono compromessi tramite strumenti prontamente disponibili come Modlishka sfruttando una tecnica chiamata proxy inverso. Ciò facilita la comunicazione tra la vittima e un servizio.
Quindi, nel caso di Modlishka, intercetterà la comunicazione registrando le interazioni, comprese le credenziali di accesso che potrebbero utilizzare.
Oltre a queste vulnerabilità esistenti, sono state riscontrate ulteriori vulnerabilità anche sul Google Play Store.
Se un utente malintenzionato ha accesso alle tue credenziali e riesce ad accedere al tuo account Google Play su un laptop, può quindi installare qualsiasi app che desidera automaticamente sul tuo smartphone.