I ricercatori del Certfa Lab hanno individuato una campagna di sneaky phishing (letteralmente, phishing “subdolo”) in grado di compromettere i sistemi di protezione di accesso ai servizi on-line basati sulla doppia autenticazione con SMS.
L’attacco pare essere condotto dal gruppo criminale iraniano Charming Kitten, già salito agli onori della cronaca per aver hackerato, nel 2017, i server dell’emittente televisiva americana HBO diffondendo i nuovi episodi della serie TV “Il trono di spade”.
Indice degli argomenti
Sneaky phishing: analisi della nuova truffa
Prima di questo nuovo attacco informatico, l’autenticazione a due o più fattori (two-factor authentication o multi-factor authentication, abbreviati anche con le sigle 2FA e MFA) era considerata il sistema di protezione più sicuro per proteggere i propri account, soprattutto quelli per l’accesso ai servizi di home banking. D’altronde, applicare una protezione simile è un gioco da ragazzi, ma questo non significa che tutti i metodi per farlo sono ugualmente sicuri.
Proprio l’autenticazione basata su SMS negli ultimi tempi è stata minata da vari attacchi man-in-the-middle e man-in-the-browser, nonché da frodi nello scambio di SIM di famosi provider di telefonia mobile.
La nuova campagna criminale di sneaky phishing ha colpito importanti funzionari del governo degli Stati Uniti, scienziati nucleari, giornalisti e attivisti dei diritti umani. In particolare, gli analisti di Certfa sono riusciti ad individuare i server utilizzati dai criminal hacker sui quali era memorizzata una lista di 77 indirizzi e-mail con dominio Gmail e Yahoo, alcuni dei quali apparentemente compromessi con successo nonostante l’attivazione della doppia autenticazione con verifica degli SMS.
Lo sneaky phishing, in questo caso, è stato “costruito” attorno alla vecchia idea di inviare un falso allarme di accesso non autorizzato ad un account utilizzando un indirizzo dall’aspetto plausibile, come ad esempio notifications.mailservices@gmail.com. In pratica, i criminal hacker hanno sfruttato il fatto che Google, ma anche Yahoo e tutti gli altri grandi nomi di Internet, inviano spesso avvisi di sicurezza per informare i proprio utenti di un accesso sospetto ai rispettivi account da computer o dispositivi diversi da quelli utilizzati normalmente: capita, ad esempio, quando ci si collega all’account Gmail dal computer dell’ufficio anziché dal proprio smartphone.
Una tecnica, quella usata dai creatori della campagna di sneaky phishing, tanto semplice quanto efficace per trarre in inganno le inconsapevoli vittime. Ma i criminal hacker, ovviamente, non si sono accontentati, escogitando altri sistemi di violazione degli account:
- pagine e file di phishing ospitate su sites.google.com, un sottodominio di Google;
- invio dell’avviso e-mail come immagine cliccabile dell’add-on Screenshot di Firefox, piuttosto che come URL in modo da bypassare il sistema anti-phishing di Google;
- tracciamento di chi ha aperto le e-mail incorporando un minuscolo pixel 1×1 cosiddetto “beacon” che viene ospitato e monitorato da un sito web esterno (i marketer hanno usato questa tecnica per anni, motivo per cui è una buona idea disattivare il caricamento automatico delle immagini in programmi come Gmail).
Sistemi a doppia autenticazione: l’SMS non è più sicuro
Al momento non si hanno altri dettagli tecnici sulla campagna di sneaky phishing, ma probabilmente per compromettere i sistemi a doppia autenticazione i criminal hacker sono stati in grado di verificare “al volo” le password e i nomi utente delle vittime per controllare se la modalità di protezione era attiva. Se lo era, e presumibilmente è stato così per la maggior parte dei loro bersagli, i criminal hacker hanno utilizzato una pagina web di phishing costruita ad hoc che imitava l’accesso 2FA del fornitore del servizio on-line utilizzato dalle vittime.
Sembra semplice, ma il diavolo è nel dettaglio. A quanto pare, infatti, i criminal hacker sono stati in grado di scoprire anche le ultime due cifre del numero di telefono indicato dalla vittima per l’eventuale recupero dell’accesso al servizio. Questo è servito loro per creare pagine di verifica di Google o Yahoo ancora più verosimili.
Difendersi dagli attacchi di sneaky phishing: i consigli degli esperti
I sistemi di autenticazione a due o più fattori rimangono ancora i più efficaci per proteggere i propri account on-line, ma quanto successo con questa campagna di sneaky phishing conferma che l’SMS non è più l’opzione migliore per effettuare la verifica di accesso. Google, ad esempio, non la propone più ai suoi utenti, a meno che non sia stata impostata su vecchi account Gmail. I gestori di password rappresentano una valida alternativa perché provvedono a compilare i campi password nei form on-line solo quando rilevano il dominio corretto.
Di gran lunga più sicuro, inoltre, utilizzare un token hardware FIDO U2F (o il più recente FIDO2, che verrà adottato anche dalle prossime versioni di Windows 10), in quanto può essere bypassato solo accedendo fisicamente alla secure key. Ce lo conferma anche Raphael Vallazza Ceo di Endian: “L’ultimo caso dell’attacco sneaky phishing dimostra come anche la Two Factor Authentication, se fatta tramite SMS, è vulnerabile ad attacchi di phishing e man-in-the-middle: è possibile, infatti, introdursi con finalità malevole nella comunicazione tra l’utente e il servizio/server attaccato, oppure in certi casi clonare la SIM della vittima. La misura migliore per evitare che ciò accada è usare un’autenticazione tramite token (come per esempio Yubikey o U2F), che prevede la cifratura totale della comunicazione tra i servizi anche in fase di autenticazione”.
Secondo Fabrizio Croce, Area Director South Europe WatchGuard Technologies, “già da tempo si stigmatizzava come sistemi di autenticazione ritenuti forti (o almeno più forti) per superare il paradigma delle password fossero non inviolabili. L’autenticazione basata su invio di un testo di controllo (SMS o e-mail) può essere facilmente vittima di attacchi di man in the middle. Anche l’utilizzo di token hardware per generare una OTP (One-Time Password) è un sistema violabile, in caso di smarrimento del dispositivo o di un suo furto, perché non è legato al possessore: in questo caso, si ricade nel solito problema del crack di una password debole”.
“La nuova tendenza”, continua Croce, “è quella di disporre di un sistema di autenticazione multi-fattore (MFA): qualcosa che conosci (password, PIN), qualcosa che hai (token, mobile phone), qualcosa che sei (fingerprint, riconoscimento facciale ecc.). L’utilizzo di token distribuiti in cloud su dispositivi mobili sembra essere una soluzione di facile implementazione a costi estremamente contenuti, quindi possibile anche per piccolissime aziende. Consideriamo, infatti, che il furto di identità è una piaga reale: si implementano sistemi di sicurezza costosi e complessi, ma l’anello debole della catena rimane una singola password scelta spesso dall’utente stesso”.
“La frenesia di tutti i giorni, ma soprattutto di questo periodo festivo, ci porta inevitabilmente ad abbassare la guardia e i pilastri della sicurezza che fino ad oggi sembravano inossidabili, cominciano a sbriciolarsi sotto l’assedio dei cyber criminali”, è il commento di Andrea Muzzi, Technical Manager F-Secure Corporation.
“La parola d’ordine, in questi casi, è: dinamicità”, continua Muzzi. “Come per la sicurezza, anche noi utenti dobbiamo esserlo sempre di più per riuscire a stare al passo con le nuove minacce. Quello che valeva ieri non è detto che oggi mi garantisca la sicurezza di cui ho bisogno. Sempre di più bersagliati da nuovi malware tecnologicamente avanzati, attacchi mirati e in questo turbinio di cyber-tecnologia-malevola, non ci rendiamo conto che questi super criminali sfruttano ancora con successo classici strumenti d’attacco come il phishing: un attore di primo piano negli attacchi, un intramontabile strumento per sfruttare la disattenzione della maggior parte degli utenti”.
Ecco, quindi, gli utili consigli che Andrea Muzzi suggerisce al nostro sito per difendersi dallo sneaky phishing:
- prima di tutto se dovessimo ricevere una e-mail, a prima vista lecita, dove ci viene richiesta un’autenticazione, verifichiamone sempre la provenienza e il contesto. Ho cambiato qualche parametro nei settaggi del mio account? Sto creando un account o mi sono registrato ad un nuovo servizio? Niente di tutto questo? La cestino immediatamente, si tratta sicuramente di una e-mail pericolosa;
- disabilitiamo il caricamento in automatico delle immagini, a maggior ragione nei nostri programmi di posta locali o nel web. Alcuni fornitori di webmail offrono questo tipo di funzionalità, sfruttiamola;
- se pensiamo di utilizzare applicazioni di terze parti per l’autenticazione, soprattutto a bordo dei nostri dispositivi mobili, non possiamo prescindere dal verificarne la provenienza. È sempre meglio utilizzare “store ufficiali” per i nostri download;
- nel caso in cui, invece, la sicurezza sia qualcosa di imprescindibile, valutiamo l’idea di utilizzare dei token fisici. Questa soluzione potrebbe offrirci una maggiore sicurezza andando ad aggiungere, in caso di violazione, un’ulteriore componente fisica”.
Utili suggerimenti da tenere sempre a mente perché, come citava un noto personaggio, il business non dorme mai. E questo vale anche per il cyber crime.
