Gli hacker trovano un modo per aggirare l'autenticazione a due fattori di Gmail

L'autenticazione a due fattori è stata salutata come un passo avanti significativo nel fornire sicurezza online, permettendoci di accedere con sicurezza a siti come Gmail. I siti Web che una volta richiedevano una password non sicura ora richiedono una password complessa con una seconda forma di autenticazione da un dispositivo mobile o implementano altri sistemi a due fattori. Tuttavia, come con tutto, l'autenticazione a due fattori non è impermeabile ai difetti, e un nuovo rapporto di Amnesty International spiega in dettaglio come gli hacker hanno phishing codici a due fattori.

L'autenticazione con un sistema a due fattori è in due fasi, come suggerito dal nome, e in genere richiede all'utente di inserire sia una password che un codice, generati o inviati a un dispositivo mobile. Questa opzione sicura aiuta effettivamente a impedire agli hacker di accedere agli account degli utenti se hanno ottenuto l'accesso a un solo fattore, ad esempio la password, se i dati di un sito Web sono stati violati. Ma, se inconsapevolmente date il tuo codice a due fattori a un utente o sito malevolo, il sistema è stato sconfitto.

Il rapporto di Amnesty International ha rilevato che gli hacker hanno iniziato a utilizzare un processo automatizzato che avviene per prima cosa tramite phishing della password da un sito Web fraudolento, quindi inoltrando la password a Gmail, attivando un messaggio di testo a due fattori e infine inoltrandolo sito fraudolento.

Poiché alcuni sistemi non richiedono all'utente di eseguire nuovamente l'autenticazione per disattivare due fattori, gli hacker possono quindi abbandonare rapidamente il proprio account. Anche senza avere il pieno controllo di un account, gli hacker possono generare password specifiche per app, password secondarie che possono essere utilizzate per accedere a account a due fattori senza dover ripetere l'autenticazione ogni volta.

Nel corso del 2017 e del 2018, gli hacker hanno preso di mira oltre un migliaio di account Google e Yahoo in Medio Oriente e Nord Africa. Durante i test, Amnesty International ha rilevato che la configurazione dello smartphone per testare il sistema di phishing ha effettivamente ricevuto un messaggio di testo autentico dal server di Google per l'autenticazione in connessione con il sito dannoso. L'organizzazione osserva che gli attacchi hanno colpito i dissidenti negli Emirati Arabi Uniti.

Sebbene le notizie non siano un motivo per disinnestare i sistemi a due fattori attualmente in uso, raccomandiamo comunque di attivare l'autenticazione a due fattori per qualsiasi sito web che la offre, è un'altra prova che nessun sistema di sicurezza è impermeabile.

• Queste sono le peggiori password del 2018. La tua è su questa lista?
• L'ultima violazione degli SMS potrebbe consentire agli hacker di accedere ai propri account online
• Motiv smart ring può utilizzare il tuo modello di camminata per sbloccare i conti online

( Fonte )