Archivi tag: sms

Sneaky Phishing rompe la doppia autenticazione SMS

Sneaky Phishing vs 2FA

I ricercatori del Certfa Lab hanno individuato una campagna di sneaky phishing,  che potremmo tradurre genericamente come il phishing “subdolo”, che e’ in grado di compromettere i sistemi di protezione di accesso ai servizi on-line basati sulla doppia autenticazione con SMS.

Come abbiamo gia descritto in un recente articolo, anche i migliori sistemi di autenticazione online , tramite il 2FA, ossia il sistema di autenticazione a doppio fattore, soprattutto quello per cui interagiamo con il servizio a cui vogliamo collegarci tramite il doppio uso di Login+SMS codice, e’ ormai a rischio, motivo per cui sono nate le chiavette come la Yubikey o, piu’ recentemente, la Titan Security Key di Google.

Ma oggi purtroppo nuovi pericoli affliggono la gestione di accesso tramite SMS, infatti sono arrivate nuove tipologie di attacco informatico che possono invalidare il livello di sicurezza di questo sistema.

Oggi parleremo della truffa chiamata “Sneaky phishing”. Prima di questo nuovo attacco informatico, l’autenticazione a due fattori (two-factor authentication) era considerata il sistema di protezione più sicuro per proteggere i propri account, soprattutto quelli per l’accesso ai servizi di home banking, e proprio l’autenticazione basata su SMS negli ultimi tempi è stata colpita da vari attacchi “man-in-the-middle” e “man-in-the-browser”, nonché da frodi nello scambio di SIM di famosi provider di telefonia mobile.

L’attacco Sneaky phishing è stato creato attorno alla vecchia idea di inviare un falso allarme di accesso non autorizzato ad un account vittima, utilizzando un indirizzo generico ma dall’aspetto plausibile, come ad esempio:
” notifications.mailservices@gmail.com ”

L’inganno iniziale di questo attacco , che quindi sfrutta in partenza la tecnica del Phishing , sfrutta il fatto che Google, ma anche Yahoo e tutti gli altri grandi nomi di Internet, inviano spesso avvisi di sicurezza per informare i proprio utenti di un accesso sospetto ai rispettivi account da computer o dispositivi diversi da quelli utilizzati normalmente .

All’interno di questi messaggi possono trovarsi diverse altre tecniche di cattura dei dati di accesso per la violazione di un’account, quali ad esempio:

  • pagine e file di phishing ospitate su sites.google.com, un sottodominio di Google
  • invio dell’avviso e-mail come immagine cliccabile dell’add-on Screenshot di Firefox, piuttosto che come URL in modo da bypassare i sistemi di anti-phishing
  • tracciamento di chi ha aperto le e-mail incorporando un minuscolo pixel 1×1 cosiddetto “beacon” che viene ospitato e monitorato da un sito web esterno

…..etc……etc……..

Presumibilmente è stato così per la maggior parte dei loro bersagli, nella pratica i criminali hanno utilizzato una pagina web di phishing costruita ad hoc che imitava l’accesso 2FA del fornitore del servizio on-line utilizzato dalle vittime per dirottarle usando le tecniche di Phishing viste sopra.

COME DIFENDERSI ??

I sistemi di autenticazione a due o più fattori rimangono ancora i più efficaci sistemi per proteggere i propri account on-line, ma quanto successo , e si e’ dimostrato, con questa campagna di sneaky phishing conferma che l’SMS non è più l’opzione migliore per effettuare la verifica di accesso. Google, ad esempio, non la propone più ai suoi nuovi utenti, a meno che non sia stata impostata su vecchi account Gmail, ma spinge perche’ vengano usati sistemi di token hardware FIDO U2F, in quanto può essere bypassato solo accedendo fisicamente alla secure key.

Qualcuno potra’ obiettare che anche il token puo’ essere violato, se ad esempio viene perso o rubato ed a quel punto l’ultimo baluardo rimarrebbe la “robustezza” della nostra password…..si torna sempre li….l’errore umano.

Ma almeno percentualmente il sistema a doppio fattore gestito con un token hardware rimane, al momento, il sistema piu’ efficace di protezione dei nostri dati.

Torniamo adesso a parlare di quelli che possono essere degli utili consigli per difendersi :

  • prima di tutto, nel momento in cui riceviamo una e-mail, a prima vista lecita, dove ci viene richiesta un’autenticazione, verifichiamone sempre la provenienza e il contesto e poniamoci velocemente alcune domande: 1) Ho cambiato qualche parametro nei settaggi del mio account? 2) Sto creando un account o mi sono registrato ad un nuovo servizio? Se la risposta sara’ “niente di tutto questo” Allora lnon rimane che cestinarla immediatamente, poiche’ si trattera’ sicuramente di una e-mail potenzialmente pericolosa;
  • disabilitiamo il caricamento in automatico delle immagini. Molti fornitori di webmail offrono questo tipo di funzionalità, sfruttiamola;
  • se pensiamo di utilizzare applicazioni di terze parti per l’autenticazione, verificatene sempre la provenienza, usate soltanto URL/store ufficiali per i vostri download;
  • nel caso in cui, a maggior ragione, la sicurezza sia qualcosa di imprescindibile (in ambito personale o lavorativo), valutate l’idea di utilizzare dei token fisici come quelli descritti qui

Quello che bisogna ricordarsi sempre e’ che il Business del crimine e’ sempre pronto e molto spesso un passo avanti a tutti e chi ci lavora si allena quotidianamente…….fatelo anche voi 😉

Scopri chi ti chiama – Stop anonimato

Whooming AntiStalker

Whooming Servizio AntiStalker

Oggi giorno gli episodi di stalking stanno diventando quasi una quotidianita’, ma e’ possibile risalire alla persona che ci fa una chiamata anonima e ci disturba continuamente?
Proviamo a fare un po’ di chiarezza.  Le chiamate anonime sono così definite perché, per l’appunto, non viene mostrato il numero di chi ci sta chiamando.

Per fortuna scoprire il numero di una chiamata anonima, oggi, non è piu’ una cosa impossibile, anzi, grazie ad alcuni servizi disponibili gratuitamente in Rete è diventato piuttosto semplice, ma bisogna fare degli opportune differenze.

Quando e se le chiamate anonime sono utilizzate per disturbarci in maniera insistente o addirittura per minacciarci, il consiglio è ovviamente quello di andare immediatamente a denunciare alle autorità competenti (magari dopo aver registrato le conversazioni e aver appuntato l’orario in cui sono state ricevute), mentre per i casi isolati, quelli non troppo seri, è possibile affidarsi ai servizi che stiamo per descrivervi.

Whooming è un servizio tutto italiano che permette di svelare il numero di chi chiama nascondendo il proprio numero. Questo servizio funziona sia per le utenze di linea fissa sia per i cellulari usando la tecnica dell’inoltro di chiamata: in sostanza la telefonata viene dirottata verso Whooming, che ne identifica l’autore.

Il servizio e’ utilizzabile gratuitamente ma, in questo caso, i numeri di chi effettua le telefonate anonime verranno mostrati soltanto 24 ore dopo l’avvenuta chiamata. Se si vogliono risultati istantanei occorrera’ acquistare una ricarica online dal valore di almeno 10 .

Se sei interessato, puoi attivare Whooming sul tuo cellulare o sul tuo telefono di casa semplicemente collegandoti alla pagina iniziale del servizio e creando un account, Registrandovi con il vostro indirizzo email oppure premendo sul bottone di Facebook e autenticavi tramite il vostro profilo social.

Una volta terminata la procedura di registrazione ed effettuato l’accesso seguite la procedura di configurazione guidata che vi verra’ proposta.

Ci vorrà poco per configurare il tutto, del resto non dovrete far altro che fornire il vostro numero di cellulare, indicare la nazione di appartenenza del vostro operatore telefonico etc…..

Dopo aver fornito tutte le informazioni richieste, dovrete attivare la deviazione delle chiamate verso il numero di Whooming dal vostro telefono e verificare che tutto funzioni a dovere chiamandovi dal vostro stesso numero o telefonandovi da un’altra linea e rifiutando poi la chiamata.

Per attivare la deviazione delle chiamate dovrete digitare alcuni codici che sono spiegati all’interno del portale di Whooming.

Dopo aver configurato Whooming sul vostro telefonino, potrete scoprire il numero di una chiamata anonima semplicemente rifiutando la telefonata e collegandovi al sito Internet del servizio, nella sezione Elenco chiamate, oppure scaricando l’applicazione di Whooming per Android.

Fra i servizi a pagamento di Whooming ci sono anche “Parla con lo stalker” che svela in tempo reale il numero di chi chiama con l’anonimo senza che il mittente della telefonata si accorga di nulla e Registra la chiamata con lo stalker che registra le conversazioni permettendo di scaricarle sul computer.

Attivando questa funzionalità si ingannerà lo stalker che sentirà il telefono della vittima libero quando in realtà Whooming ne ha già rintracciato il numero (ed il nome se presente in Rubrica) e sta richiamando l’utente con il numero in chiaro dello stalker.

Quest’ultima funzione può tornare utile nei casi seri, quelli in cui si subiscono minacce o attività di stalking telefonico vero e proprio. Come accennato prima, però, nelle situazioni più delicate è bene rivolgersi alle autorità.

Altra novità di rilievo è “protezione Facebook” un semplice messaggio che pubblicheremo sulla nostra bacheca finalizzato a scoraggiare gli stalker o eventuali persone pronte a infastidirci.

Whooming offre fondamentalmente due tipi di servizio: uno free che permette semplicemente di svelare il numero del mittente anonimo e consultare gli altri che ci hanno chiamato e uno premium che ci permette di aver il numero di chi ci chiama via SMS (20 centesimi), parlare con questo (20 cent/minuto) e registrare la chiamata (10 cent/minuto). Insomma ottimo il servizio gratuito e ancora meglio i servizi a pagamento, utili per combattere lo stalking.

Navigare piu’ sicuri con una chiavetta Usb

Naviga sicuro - YubiKeys

Naviga sicuro – YubiKeys

Alle nostre password affidiamo ormai la sicurezza di tutti i nostri servizi online (social network, home banking, dischi virtuali con foto personali dati etc…) , tutto cio’ anche se siamo, in qualche modo, consapevoli della loro debolezza di fondo.
Immaginiamo seppur inconsapevolmente che, se qualcuno le dovesse rubare potrebbe avere accesso ai nostri, in totale liberta’, anonimato e senza alcun tipo di controllo.

Certo sappiamo che esiste gia un metodo, a oggi ampiamente diffuso, per proteggersi da questo scenario fin troppo comune e si chiama “autorizzazione a due fattori” (in gergo 2FA) o “verifica in due passaggi” . Questo si basa su un assunto molto semplice, ossia, per poter accedere a un servizio, l’utente deve conoscere qualcosa, ovvero la/le propria password (primo fattore), e possedere qualcosa, come un cellulare (secondo fattore). Ad oggi il sistema 2FA più diffuso, disponibile per le maggiori piattaforme, passa per l’invio di un codice speciale tramite SMS, da inserire in aggiunta alla password (vedi Gmail). Un procedimento noioso, che diventa inutile se per un qualche motivo non abbiamo a portata di mano il dispositivo autorizzato a ricevere il codice, oppure semplicemente abbiamo cambiato numero di cellulare e non abbiamo aggiornato il profilo (tragedia).

Sicurezza via USB
La svedese Yubico ci propone una soluzione diversa, infatti al sistema incentrato sullo smartphone, essa sostituisce con una pennina USB, da usare come secondo fattore. Il prodotto in questione si chiama Yubikey e ne esistono diversi modelli, distinti per caratteristiche e protocolli supportati. Il funzionamento è semplice, quando ci si collega ad un servizio online, come ad esempio Gmail, basta digitare la password e poi toccare la pennina inserita in una delle porte USB del computer. Il sistema remoto riconosce la presenza del dispositivo e consente l’accesso dell’utente. Alla base del procedimento c’è un protocollo open source, chiamato Fido U2F (Universal Two Factor), che la Yubico ha sviluppato in collaborazione con Google. Il protocollo e’ OPEN dunque, qualsiasi sviluppatore può abilitarlo per il proprio servizio online.

Le nostre prove hanno confermato la semplicità del procedimento di autenticazione ma, come sempre non e’ tutto oro cio che luccica, ed in questo caso c’è una complicazione da non sottovalutare ossia che, l’impostazione iniziale della Yubikey va fatta per ogni servizio, con procedure quasi mai identiche e spesso nascoste fra le mille opzioni specifiche per la singola piattaforma. Certamente nulla che non possa riuscire anche all’utente medio, magari con l’aiuto delle guide in linea di fornite dalla stessa Yubico, ma comunque un procedimento in più che potrebbe scoraggiare chi non utilizza la verifica in due passaggi per ragioni di pigrizia. Dovremmo pero’ ricordarci tutti che e’ proprio la pigrizia la componente preferita da chi vuole rubarci i dati.

Compatibilità e versioni disponibili
Fra i maggiori browser, Chrome di Google è attualmente l’unico che è compatibile nativamente con Yubikey (dalle versione 41 in poi). Per Safari e Firefox esistono dei plugin specifici da installare per attivare il supporto alle chiavine di Yubico. Quanto ai servizi online, la compatibilità è completa per Google, Dropbox e Salesforce. Per WordPress, la nota piattaforma di blogging, è disponibile un plugin di compatibilità. Niente da fare al momento per i servizi Apple: l’azienda ad oggi non ha mostrato alcuna intenzione di adottare il protocollo Fido U2F sviluppato da Yubico e Google.

La Yubikey Edge, che supporta FIDO U2F, costa 34€, Il modello superiore, Yubikey Neo, aggiunge la possibilità di abilitare la verifica in due passaggi anche tramite NFC su alcuni smartphone Android, costa 59€. Entrambe sono acquistabili online su Amazon Italia.

Ma qualcuno si stara’ chiedendo, “cosa succede nel caso la Yubikey venga smarrita o rubata ???”, beh! nessuna paura poiche’ si può accedere ai vari account tramite il sistema 2FA basato sull’invio di un codice SMS, che è comunque buona norma mantenere attivo, ed una volta entrati sarà possibile cancellare l’associazione con la chiavetta che non è più in nostro possesso. L’alternativa, come per le chiavi dell’auto, è possederne due (entrambe da autorizzare su tutti i servizi, però) e lasciarne una in un posto sicuro.

Speriamo che l’argomento di questo articolo, oltre ad avervi ato una buona alternativa nella gestione della vostra privacy, vi abbia anche fatto riflettere sull’importanza, sempre maggiore, di mantenere alti i livelli di sicurezza di vostri dati personali.

 

#NavigasicuroconYubikey