Microsoft: sì all'autenticazione multi-fattore, senza SMS

Le app sono le migliori per un'autenticazione multi-fattore davvero sicura. Gli SMS sono troppo facili da intercettare.

Autore: Redazione SecurityOpenLab

Le frodi e i cyber attacchi si stanno moltiplicando, complice la crisi pandemica e l'incremento di tutte le attività online. Come noto i cyber criminali hanno visto nell'accelerazione digitale delle grandi opportunità di guadagno. Sono gli account ad essere particolarmente appetibili, per questo Microsoft caldeggia da tempo di adottare l'autenticazione a più fattori.

A patto che venga fatta con le app apposite, non con gli SMS. A dirlo è Alex Weinert, Direttore della Identity Security di Microsoft. Weinert è un fermo sostenitore dell'autenticazione multi-fattore, da tempo esorta tutti gli utenti ad adottare questa tecnica per difendere meglio gli account online. 

I numeri gli danno ragione: stando alle statistiche di Microsoft, lo scorso anno gli utenti che hanno abilitato l'autenticazione a più fattori hanno bloccato circa il 99,9% degli attacchi. Tuttavia le soluzioni per attivare questo controllo sono molte: ci sono gli SMS, oppure le app authenticator. 

Potendo scegliere, queste ultime sono migliori perché gli SMS sono trasmessi in testo non crittografato, quindi possono essere intercettati dagli attaccanti. A supporto di questa tesi Weinert cita diversi problemi di sicurezza noti ai danni delle reti telefoniche.

Non solo. I codici spediti via SMS possono anche essere oggetto di phishing e smishing. A questo proposito ci sono codici open source prontamente disponibili come Modlishka, CredSniper o Evilginx. Modlishka è un reverse proxy che può catturare in tempo reale i codici dei sistemi di autenticazione multi-fattore. 

CredSniper visualizza una grafica identica a quella della pagina in cui inserire il codice di autenticazione spedito via SMS. Così facendo il criminale può procedere spedito con l'azione illegale. Evilginx è infine un framework di attacco man-in-the-middle utilizzato per il phishing delle credenziali di accesso, che consente di aggirare la protezione dell'autenticazione a due fattori.

Non ultimo, è da ricordare la pioggia di richieste ai gestori telefonici per lo scambio SIM: è una frode in cui i cyber criminali chiedono di trasferire sulla propria SIM il numero di una vittima. Così facendo possono vedere tutti i codici MFA e autorizzare senza problemi le transazioni fraudolente.

Tutti problemi aggirabili con l'impiego di applicazioni per l'autenticazione.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.