Violare un sistema SMS MFA pagando solo 16 dollari

La rivista Vice, famosa per il suo giornalismo alternativo e i reportage estremi, lo scorso marzo ha pubblicato un articolo su un esperimento che ha fatto scalpore nella comunità della sicurezza informatica: il giornalista Joseph Cox ha pagato un hacker affinché tentasse di accedere ai suoi account senza essere in possesso del suo telefono cellulare o di altri suoi dispositivi fisici. L'hacker ha messo a segno il colpo con grande facilità, spendendo solo 16 dollari, che era il costo di uno strumento legittimo, disponibile sul mercato.

L'hacker, noto con lo pseudonimo Lucky225, è riuscito nell’intento senza violare la scheda SIM, che in questi casi è il metodo più comunemente utilizzato, e ha sfruttato, invece, l'autenticazione a più fattori (MFA), che evidentemente non era abbastanza sicura. Come ha fatto? Ha semplicemente utilizzato uno strumento per le campagne marketing chiamato Sakari, che permette alle aziende di inviare messaggi SMS di massa a elenchi di numeri di dispositivi mobili per scopi commerciali. Lucky225 ha inviato a Sakari una lettera di autorizzazione compilata con dati falsi, sostenendo di essere il proprietario del numero di telefono del giornalista. Di conseguenza, i messaggi SMS inviati alla vittima dell'esperimento venivano deviati all'applicazione e il giornalista non li ha più ricevuti sul suo cellulare. L'hacker è riuscito ad accedere a molti degli account online della vittima: non doveva fare altro che chiedere nuove password e ricevere direttamente gli SMS inviati dai portali con le nuove password.

L’incidente dimostra la mancanza di sicurezza di alcuni di questi sistemi. Tuttavia, è importante notare che non tutti i sistemi di autenticazione a più fattori sono uguali, come ha spiegato Alexandre Cagnoni, direttore per la gestione dei prodotti di autenticazione di WatchGuard in un articolo di Dark Reading.

In questo caso, Lucky225 ha sfruttato i metodi di autenticazione a più fattori OTP (One Time Password, password monouso) basati su SMS, ancora utilizzati da molte aziende; tuttavia, avverte Cagnoni, questi metodi creano un falso senso di sicurezza per gli utenti. Inoltre, come riportato nel blog Secplicity, alcuni studi recenti dimostrano che introducono molti rischi di furto di identità o frode di autenticazione e pertanto non andrebbero utilizzati.

Metodi sicuri

Esistono invece metodi alternativi che riducono al minimo il rischio, come le soluzioni di autenticazione a più fattori AuthPoint di WatchGuard. Il suo servizio di autenticazione mobile genera una chiave crittografata univoca, contiene un clock interno per garantire che sia temporanea, e utilizza un "DNA mobile" per verificare il telefono di ogni utente quando si concede l'accesso a sistemi e applicazioni. In questo modo, gli eventuali attaccanti che clonano il dispositivo di un utente verranno bloccati qualora tentino di accedere a un sistema protetto, poiché il DNA del dispositivo sarebbe diverso. Inoltre, l'applicazione mobile offre tre tipi di autenticazione:

Autenticazione push: autenticazione sicura con approvazione in un solo passaggio/one-touch. Consente di vedere chi sta cercando di effettuare l’autenticazione e dove, e può bloccare l'accesso non autorizzato alle risorse.
Autenticazione basata sul codice QR: si utilizza la fotocamera del cellulare per leggere un codice QR univoco e crittografato, con una domanda che può essere letta solo con l'applicazione. Per completare l'autenticazione, è necessario digitare la risposta.
Password monouso a tempo (OTP): viene visualizzata una password dinamica, monouso e a tempo, che deve essere inserita durante l'accesso.

Nell’ambito delle sue soluzioni AuthPoint, WatchGuard offre anche un altro metodo: i token hardware. Questi dispositivi elettronici sigillati generano password monouso sicure (OTP) ogni 30 secondi. Le aziende possono usarli come alternativa ai token mobili per autenticare le risorse protette.

Inoltre, tutte queste soluzioni offrono alle organizzazioni il vantaggio di poter gestire i token, le autorizzazioni e i login di ogni utente in un portale cloud, basato su WatchGuard Cloud. Le aziende possono quindi usufruire di un report di accesso degli utenti completo e dettagliato e negare l’accesso quando rilevano un rischio per la sicurezza informatica. Questo permetterà di ridurre al minimo i rischi di situazioni generate da MFA non sicure, come quella descritta nell'articolo di Vice.