Le
frodi e i
cyber attacchi si stanno moltiplicando, complice la crisi pandemica e l'incremento di tutte le attività online. Come noto i cyber criminali hanno visto nell'accelerazione digitale delle grandi opportunità di guadagno. Sono gli account ad essere particolarmente appetibili, per questo Microsoft caldeggia da tempo di adottare l'
autenticazione a più fattori.
A patto che venga
fatta con le app apposite, non con gli SMS. A dirlo è Alex Weinert, Direttore della Identity Security di Microsoft. Weinert è un fermo sostenitore dell'autenticazione multi-fattore, da tempo esorta tutti gli utenti ad adottare questa tecnica per difendere meglio gli account online.
I numeri gli danno ragione: stando alle statistiche di Microsoft, lo scorso anno gli utenti che hanno abilitato l'autenticazione a più fattori hanno
bloccato circa il 99,9% degli attacchi. Tuttavia le soluzioni per attivare questo controllo sono molte: ci sono gli SMS, oppure le app authenticator.
Potendo scegliere, queste ultime sono migliori perché gli
SMS sono trasmessi in testo non crittografato, quindi possono essere intercettati dagli attaccanti. A supporto di questa tesi Weinert cita diversi problemi di sicurezza noti ai danni delle reti telefoniche.
Non solo. I codici spediti via SMS possono anche essere oggetto di phishing e smishing. A questo proposito ci sono codici open source prontamente disponibili come Modlishka, CredSniper o Evilginx. Modlishka è un reverse proxy che può catturare in tempo reale i codici dei sistemi di autenticazione multi-fattore.
CredSniper visualizza una grafica identica a quella della pagina in cui inserire il codice di autenticazione spedito via SMS. Così facendo il criminale può procedere spedito con l'azione illegale. Evilginx è infine un framework di attacco man-in-the-middle utilizzato per il phishing delle credenziali di accesso, che consente di aggirare la protezione dell'autenticazione a due fattori.
Non ultimo, è da ricordare la pioggia di richieste ai gestori telefonici per lo
scambio SIM: è una frode in cui i cyber criminali chiedono di trasferire sulla propria SIM il numero di una vittima. Così facendo possono vedere tutti i codici MFA e autorizzare senza problemi le transazioni fraudolente.
Tutti problemi aggirabili con l'impiego di applicazioni per l'autenticazione.