gennaio 9, 2019

Sneaky Phishing rompe la doppia autenticazione SMS

Sneaky Phishing vs 2FA

I ricercatori del Certfa Lab hanno individuato una campagna di sneaky phishing, che potremmo tradurre genericamente come il phishing “subdolo”, che e’ in grado di compromettere i sistemi di protezione di accesso ai servizi on-line basati sulla doppia autenticazione con SMS.

Come abbiamo gia descritto in un recente articolo, anche i migliori sistemi di autenticazione online , tramite il 2FA, ossia il sistema di autenticazione a doppio fattore, soprattutto quello per cui interagiamo con il servizio a cui vogliamo collegarci tramite il doppio uso di Login+SMS codice, e’ ormai a rischio, motivo per cui sono nate le chiavette come la Yubikey o, piu’ recentemente, la Titan Security Key di Google.

Ma oggi purtroppo nuovi pericoli affliggono la gestione di accesso tramite SMS, infatti sono arrivate nuove tipologie di attacco informatico che possono invalidare il livello di sicurezza di questo sistema.

Oggi parleremo della truffa chiamata “Sneaky phishing”. Prima di questo nuovo attacco informatico, l’autenticazione a due fattori (two-factor authentication) era considerata il sistema di protezione più sicuro per proteggere i propri account, soprattutto quelli per l’accesso ai servizi di home banking, e proprio l’autenticazione basata su SMS negli ultimi tempi è stata colpita da vari attacchi “man-in-the-middle” e “man-in-the-browser”, nonché da frodi nello scambio di SIM di famosi provider di telefonia mobile.

L’attacco Sneaky phishing è stato creato attorno alla vecchia idea di inviare un falso allarme di accesso non autorizzato ad un account vittima, utilizzando un indirizzo generico ma dall’aspetto plausibile, come ad esempio:
” notifications.mailservices@gmail.com ”

L’inganno iniziale di questo attacco , che quindi sfrutta in partenza la tecnica del Phishing , sfrutta il fatto che Google, ma anche Yahoo e tutti gli altri grandi nomi di Internet, inviano spesso avvisi di sicurezza per informare i proprio utenti di un accesso sospetto ai rispettivi account da computer o dispositivi diversi da quelli utilizzati normalmente .

All’interno di questi messaggi possono trovarsi diverse altre tecniche di cattura dei dati di accesso per la violazione di un’account, quali ad esempio:

pagine e file di phishing ospitate su sites.google.com, un sottodominio di Google
invio dell’avviso e-mail come immagine cliccabile dell’add-on Screenshot di Firefox, piuttosto che come URL in modo da bypassare i sistemi di anti-phishing
tracciamento di chi ha aperto le e-mail incorporando un minuscolo pixel 1×1 cosiddetto “beacon” che viene ospitato e monitorato da un sito web esterno

…..etc……etc……..

Presumibilmente è stato così per la maggior parte dei loro bersagli, nella pratica i criminali hanno utilizzato una pagina web di phishing costruita ad hoc che imitava l’accesso 2FA del fornitore del servizio on-line utilizzato dalle vittime per dirottarle usando le tecniche di Phishing viste sopra.

COME DIFENDERSI ??

I sistemi di autenticazione a due o più fattori rimangono ancora i più efficaci sistemi per proteggere i propri account on-line, ma quanto successo , e si e’ dimostrato, con questa campagna di sneaky phishing conferma che l’SMS non è più l’opzione migliore per effettuare la verifica di accesso. Google, ad esempio, non la propone più ai suoi nuovi utenti, a meno che non sia stata impostata su vecchi account Gmail, ma spinge perche’ vengano usati sistemi di token hardware FIDO U2F, in quanto può essere bypassato solo accedendo fisicamente alla secure key.

Qualcuno potra’ obiettare che anche il token puo’ essere violato, se ad esempio viene perso o rubato ed a quel punto l’ultimo baluardo rimarrebbe la “robustezza” della nostra password…..si torna sempre li….l’errore umano.

Ma almeno percentualmente il sistema a doppio fattore gestito con un token hardware rimane, al momento, il sistema piu’ efficace di protezione dei nostri dati.

Torniamo adesso a parlare di quelli che possono essere degli utili consigli per difendersi :

prima di tutto, nel momento in cui riceviamo una e-mail, a prima vista lecita, dove ci viene richiesta un’autenticazione, verifichiamone sempre la provenienza e il contesto e poniamoci velocemente alcune domande: 1) Ho cambiato qualche parametro nei settaggi del mio account? 2) Sto creando un account o mi sono registrato ad un nuovo servizio? Se la risposta sara’ “niente di tutto questo” Allora lnon rimane che cestinarla immediatamente, poiche’ si trattera’ sicuramente di una e-mail potenzialmente pericolosa;
disabilitiamo il caricamento in automatico delle immagini. Molti fornitori di webmail offrono questo tipo di funzionalità, sfruttiamola;
se pensiamo di utilizzare applicazioni di terze parti per l’autenticazione, verificatene sempre la provenienza, usate soltanto URL/store ufficiali per i vostri download;
nel caso in cui, a maggior ragione, la sicurezza sia qualcosa di imprescindibile (in ambito personale o lavorativo), valutate l’idea di utilizzare dei token fisici come quelli descritti qui

Quello che bisogna ricordarsi sempre e’ che il Business del crimine e’ sempre pronto e molto spesso un passo avanti a tutti e chi ci lavora si allena quotidianamente…….fatelo anche voi 😉

Inviato su News, Sicurezza
Contrassegnato da tag 2fa, crypto, mail alert, man in the middle, phishing, sms, sneaky phishing, token hardware, u2f, yubikey

gennaio 6, 2019

Google Titan Security Key

Google Titan Security Key

SICUREZZA SICUREZZA SICUREZZA…….

La parola piu’ utilizzata e letta su ogni articolo, anche non a carattere tecnico, che si intenda la sicurezza nelle citta’, oppure quella sui social media, ma ancor di piu’ il peso di questa parola lo si nota attorno a tutto cio che gravita’ sui nostri device, sia quelli personali, sia quelli che utilizziamo quotidianamente in ufficio.

Questo perche’ oggi la SICUREZZA colpisce/interessa tutti in ogni istante della nostra vita. Ogni giorno usiamo , centinaia di volte al giorno, device tecnologici di ogni tipo (SmartTV, SmartPhone, IoT, Router, AccessPoint….) e per ognuno di questi, teoricamente, dovremmo poter essere in grado di sapere cosa e come fare per proteggere i nostri dati e la nostra identita’ tecnologica, che sempre di piu’ rappresentera’ noi stessi, chi siamo, cosa facciamo, come lo facciamo…….

Ma nella realta’ chi di noi ha veramente le conoscenze ed il desiderio di doversi occupare quotidianamente della propria sicurezza; la maggior parte di noi stenta a ricordarsi di cambiare la password dell’account di posta oppure dell’utenza per l’home banking etc……, tutto questo perche’ preferiamo pensare che non saremo certo noi a diventare vittime di un qualsiasi hacker che sicuramente ha altri interessi piu’ importanti. Purtroppo non e’ cosi, oggi giorno siamo tutti collegati e la singola persona, il dipendente “qualunque”, potrebbe essere l’anello debole della catena che permette all’hacker di entrare nell’infrastruttura che vuole colpire e da li, piano piano scalare fino ad avere cio che gli serve…..

Il discorso e’ troppo lungo, ed e’ gia stato trattato in altri articoli, nella sezione (manco a dirlo) 😉 “sicurezza” di questo blog ed altri arriveranno. Fatto sta che per poter aumentare (garantire e’ una parola che non esiste, nulla e’ sicuro al 100%) il nostro livello di sicurezza possiamo per lo meno attivare, li dove ci e’ possibile, quelle funzioni denominate accesso a due fattori, sui nostri account di posta, sul nostro profilo FB …etc….

L’accesso a due fattori (2FA) esiste gia da un po’ di tempo ed è considerato uno dei metodi più sicuri per proteggere i propri dati online da eventuali malintenzionati. Tuttavia, neanche questo sistema può considerarsi impenetrabile ed anch’esso si evolve, da una prima modalita’ tramite invio di codice SMS, sino alla sua versione migliore tramite l’uso di Security Key, tra le piu’ usate ad esempio la Yubico

Anche questa tecnologia deve comunque tenersi sempre aggiornata, ed e’ notizia di questi ultimi giorni che anche Big G ha creato una Security Key dal nome “Titan Security Key“, in pratica e’ stata annunciata come una chiavetta per autenticarsi con la massima sicurezza ed a prova di phishing (ad oggi una delle vulnerabilita’ peggiori sul web).

In soldoni, la Titan Security Key, che inizialmente era disponibile solo per i clienti Cloud americani, oggi e’ in vendita sul Google Store per chiunque la volesse acquistare.
E’ un dispositivo di sicurezza utilizzato per gli account che sfruttano il doppio fattore di autenticazione, che permette di autenticare gli accessi tramite Bluetooth o USB.

Il dispositivo funziona con i browser più diffusi (incluso chiaramente Chrome) e può essere sfruttato all’interno di un crescente ecosistema di servizi che supportano lo standard FIDO, uno standard di autenticazione compatibile con numerose app e browser (gli account Google supportano le chiavi di sicurezza e altri accessi FIDO gia dal 2014), di conseguenza, il dispositivo può essere utilizzato anche per accedere a servizi diversi da Google (Facebook, Twitter, Dropbox, Gmail….. e molti altri ), anche se questi potrebbero non essere in grado, in questo momento, di usufruire appieno del firmware speciale sviluppato da Google ed inserito nelle Titan Security Key.

Come accennato prima, esistono due versioni della Titan Security Key di Google: una è USB mentre l’altra e’ dotata di connettività Bluetooth.
In entrambi i casi la chiavetta andra’ accoppiata con i propri account seguendo le indicazioni fornite da Google all’interno della confezione.

La versione USB, dunque la chiavetta fisica in se, è di piccole dimensioni, mentre la seconda versione, altrettanto piccola, essendo basata su tecnologia Bluetooth, a differenza della precedente non richiede l’inserimento fisico nel dispositivo (PC/Mac), ma è sufficiente la pressione del pulsante, presente su una delle facce, ed un accoppiamento via/Bluetooth per poter inviare i token di accesso/login nel momento desiderato.
La funzionalità del Token di sicurezza è la medesima della versione USB e, nella confezione è fornito un cavetto USB utile per la configurazione iniziale.

Ad oggi, dalle stime di Google soltanto il 10% degli account Google hanno attivato il sistema di autenticazione a due fattori sui relativi device. Una percentuale davvero bassa e sicuramente molte persone non gradiranno dover pagare un’oggetto per aumentare la loro sicurezza, poiche’ ci si aspetta che essa debba essere garantita e gratuita.

Molti ancora non vorranno doversi portare (seppur davvero piccolo e leggero) dietro l’ennesimo device/oggetto; ma al momento e’ un piccolo prezzo da pagare nella fase di adeguamento che subira’ Internet come lo conosciamo oggi, poiche’ quando nacque alla fine degli anni 60 (parlando di ARPANET) i protocolli creati all’inizio e che ancora sostengono il core dell’infrastruttura che chiamiamo Internet non erano pensati per i livelli di sicurezza richiesti oggi.

Concludo aggiungendo che per coloro che usano molti dei servizi offerti da Google per il proprio lavoro professionale, i token di sicurezza Titan sono compatibili con il Programma di protezione avanzata, il più potente strumento per la sicurezza offerto da Google per preservare gli Account Google (come giornalisti, attivisti, dirigenti aziendali e team di campagne elettorali) dal rischio di attacchi mirati.

Inviato su Devices, Tips & Tricks, Varie
Contrassegnato da tag 2fa, accesso a due fattori, bluetooth, facebook, fido, google cloud, iot, phishing, programma di protezione avanzata, sicurezza, smartphone, titan security key, twitter, usb, vulnerabilita, yubico, yubikey

ottobre 19, 2015

Navigare piu’ sicuri con una chiavetta Usb

Naviga sicuro – YubiKeys

Alle nostre password affidiamo ormai la sicurezza di tutti i nostri servizi online (social network, home banking, dischi virtuali con foto personali dati etc…) , tutto cio’ anche se siamo, in qualche modo, consapevoli della loro debolezza di fondo.
Immaginiamo seppur inconsapevolmente che, se qualcuno le dovesse rubare potrebbe avere accesso ai nostri, in totale liberta’, anonimato e senza alcun tipo di controllo.

Certo sappiamo che esiste gia un metodo, a oggi ampiamente diffuso, per proteggersi da questo scenario fin troppo comune e si chiama “autorizzazione a due fattori” (in gergo 2FA) o “verifica in due passaggi” . Questo si basa su un assunto molto semplice, ossia, per poter accedere a un servizio, l’utente deve conoscere qualcosa, ovvero la/le propria password (primo fattore), e possedere qualcosa, come un cellulare (secondo fattore). Ad oggi il sistema 2FA più diffuso, disponibile per le maggiori piattaforme, passa per l’invio di un codice speciale tramite SMS, da inserire in aggiunta alla password (vedi Gmail). Un procedimento noioso, che diventa inutile se per un qualche motivo non abbiamo a portata di mano il dispositivo autorizzato a ricevere il codice, oppure semplicemente abbiamo cambiato numero di cellulare e non abbiamo aggiornato il profilo (tragedia).

Sicurezza via USB
La svedese Yubico ci propone una soluzione diversa, infatti al sistema incentrato sullo smartphone, essa sostituisce con una pennina USB, da usare come secondo fattore. Il prodotto in questione si chiama Yubikey e ne esistono diversi modelli, distinti per caratteristiche e protocolli supportati. Il funzionamento è semplice, quando ci si collega ad un servizio online, come ad esempio Gmail, basta digitare la password e poi toccare la pennina inserita in una delle porte USB del computer. Il sistema remoto riconosce la presenza del dispositivo e consente l’accesso dell’utente. Alla base del procedimento c’è un protocollo open source, chiamato Fido U2F (Universal Two Factor), che la Yubico ha sviluppato in collaborazione con Google. Il protocollo e’ OPEN dunque, qualsiasi sviluppatore può abilitarlo per il proprio servizio online.

Le nostre prove hanno confermato la semplicità del procedimento di autenticazione ma, come sempre non e’ tutto oro cio che luccica, ed in questo caso c’è una complicazione da non sottovalutare ossia che, l’impostazione iniziale della Yubikey va fatta per ogni servizio, con procedure quasi mai identiche e spesso nascoste fra le mille opzioni specifiche per la singola piattaforma. Certamente nulla che non possa riuscire anche all’utente medio, magari con l’aiuto delle guide in linea di fornite dalla stessa Yubico, ma comunque un procedimento in più che potrebbe scoraggiare chi non utilizza la verifica in due passaggi per ragioni di pigrizia. Dovremmo pero’ ricordarci tutti che e’ proprio la pigrizia la componente preferita da chi vuole rubarci i dati.

Compatibilità e versioni disponibili
Fra i maggiori browser, Chrome di Google è attualmente l’unico che è compatibile nativamente con Yubikey (dalle versione 41 in poi). Per Safari e Firefox esistono dei plugin specifici da installare per attivare il supporto alle chiavine di Yubico. Quanto ai servizi online, la compatibilità è completa per Google, Dropbox e Salesforce. Per WordPress, la nota piattaforma di blogging, è disponibile un plugin di compatibilità. Niente da fare al momento per i servizi Apple: l’azienda ad oggi non ha mostrato alcuna intenzione di adottare il protocollo Fido U2F sviluppato da Yubico e Google.

La Yubikey Edge, che supporta FIDO U2F, costa 34€, Il modello superiore, Yubikey Neo, aggiunge la possibilità di abilitare la verifica in due passaggi anche tramite NFC su alcuni smartphone Android, costa 59€. Entrambe sono acquistabili online su Amazon Italia.

Ma qualcuno si stara’ chiedendo, “cosa succede nel caso la Yubikey venga smarrita o rubata ???”, beh! nessuna paura poiche’ si può accedere ai vari account tramite il sistema 2FA basato sull’invio di un codice SMS, che è comunque buona norma mantenere attivo, ed una volta entrati sarà possibile cancellare l’associazione con la chiavetta che non è più in nostro possesso. L’alternativa, come per le chiavi dell’auto, è possederne due (entrambe da autorizzare su tutti i servizi, però) e lasciarne una in un posto sicuro.

Speriamo che l’argomento di questo articolo, oltre ad avervi ato una buona alternativa nella gestione della vostra privacy, vi abbia anche fatto riflettere sull’importanza, sempre maggiore, di mantenere alti i livelli di sicurezza di vostri dati personali.

#NavigasicuroconYubikey