PRMitM, il nuovo attacco che fa tremare il Web

Password robuste? Autenticazione a due fattori? Con la tecnica "Password Reset Man in the Middle" un hacker può prendere comunque possesso di un account interponendosi nelle procedure di recupero delle password

Roma – Alcuni ricercatori del College of Management Academic Studies , il più grande ateneo dello Stato di Israele, hanno recentemente pubblicato un articolo nel quale viene illustrata una nuova tecnica di social engineering consistente nell’ applicazione dell’approccio man-in-the-middle (nel quale l’attaccante intercede in una comunicazione lecita tra client e server) per violare i meccanismi a disposizione dell’utente per il recupero delle password .

L’attacco, chiamato PRMitM ( Password Reset Man in the Middle ), risulta semplice nel concetto ma elaborato nell’applicazione, e prevede l’utilizzo di apposite piattaforme di backend in grado di assumere il ruolo di intermediario nell’operazione di ripristino della password dimenticata in molte piattaforme e applicazioni Web.
CAPTCHA, domande di sicurezza, codici di verifica via SMS o autenticazione a due fattori non sono un ostacolo per l’attaccante: la richiesta per l’informazione eventualmente necessaria viene inoltrata alla vittima ; per tale ragione la piattaforma utilizzata nell’attacco deve integrarsi appieno con il servizio target.

Diagramma di sequenza dell'attacco

Uno degli scenari di attacco presentati è effettuato, ad esempio, tramite un sito Web per il quale un utente effettua l’iscrizione , magari per effettuare l’accesso ad un’area riservata o al download di file. Nel momento in cui l’ignara vittima specifica il proprio indirizzo di posta elettronica può iniziare l’attacco vero e proprio: a questo punto infatti, l’attaccante può avviare la procedura di recupero password e chiedere all’utente qualunque informazione necessaria a portare a termine l’operazione , proponendo di compilare le risposte segrete relative alle stesse domande configurate per l’account vittima, o chiedendo altri dettagli necessari.

In caso di autenticazione a due fattori effettuata tramite SMS o chiamata telefonica, è possibile sfruttare il fatto che in molti casi (ad esempio Google) i provider non inseriscono il proprio nome nel messaggio o nella chiamata ricevuta ; l’utente non è perciò in grado di riconoscere la reale provenienza del messaggio.

Gli account più sensibili a questa minaccia sono senza dubbio quelli relativi a servizi di posta elettronica , che possono rappresentare una superficie di attacco molto ampia grazie al fatto che spesso costituiscono il punto di ingresso per l’autenticazione verso altri servizi . L’accesso alla casella di posta, come noto, costituisce il punto di fallimento per la maggior parte delle piattaforme online, le quali inviano i link per il ripristino delle credenziali tramite email .
Nell’ambito della ricerca sono stati effettuati test specifici nei confronti di Facebook e Google, che sono risultati entrambi vulnerabili nonostante le misure di sicurezza adottate; altri servizi come WhatsApp, Telegram, Snapchat risultano però ugualmente attaccabili .

Patrizio Tufarolo

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Luca scrive:
    mah, se è così...
    In pratica si contesta a google di aver favorito i propri prodotti mentre si usa il suo motore di ricerca.Un po' come dire che l'IKEA propone solo i suoi prodotti mentre stai cercando sul sito IKEA.Mi pare un attimo insensato come ragionamento. Il problema è: il motore di ricerca numero uno al mondo (con eccezioni regionali) è un'azienda privata di un paese estero. Il problema al massimo è questo, il resto son bischerate!
  • bradipao scrive:
    guerra di multe
    Continuo a pensare che gli attacchi della commissione europea a Apple/Google siano stati sotto-sotto ispirati dalla Germania come contrattacco per la mega multa a Volkswagen. Guerra di multe.
    • 35fe6a76194 scrive:
      Re: guerra di multe
      - Scritto da: bradipao
      Continuo a pensare che gli attacchi della
      commissione europea a Apple/Google siano stati
      sotto-sotto ispirati dalla Germania come
      contrattacco per la mega multa a Volkswagen.
      Guerra di
      multe.SeeeePer recuperare tutti i soldi che gli americani hanno tolto alle banche europee per aver violato le sanzioni americane contro l'Iran di multe come questa ce ne vorrebbero piú di 20.
    • Izio01 scrive:
      Re: guerra di multe
      - Scritto da: bradipao
      Continuo a pensare che gli attacchi della
      commissione europea a Apple/Google siano stati
      sotto-sotto ispirati dalla Germania come
      contrattacco per la mega multa a Volkswagen.
      Guerra di multe.Non ci avevo pensato, ma potresti avere assolutamente ragione.In UE comanda la Germania, potrebbe essere andata benissimo così.
    • bubba scrive:
      Re: guerra di multe
      - Scritto da: bradipao
      Continuo a pensare che gli attacchi della
      commissione europea a Apple/Google siano stati
      sotto-sotto ispirati dalla Germania come
      contrattacco per la mega multa a Volkswagen.
      Guerra di
      multe.sei un po' complottardo.... MAGARI la ue fosse cosi' veloce... poi la pubblica lagnanza dell EPA sui crucchi e' di sett 2015... poi certo tutto e' politica (compreso TTIP, nafta e compagnia.. )news del apr 2015
      La Commissione Europea, nei giorni scorsi, ha formulato le proprie accuse formali nei confronti di Google, sotto osservazione fin dal 2010 e finora incapace di garantire all'Europa una soluzione che sapesse placare le rivendicazioni della concorrenza: il confronto per verificare l'abuso di posizione dominante, durato un lustro, si è concretizzato in un solo fronte d'accusa, quello relativo al trattamento preferenziale riservato al servizio di comparazione commerciale Google Shopping fra i risultati di ricercaTra l'altro, come per la M$, mi sa tanto che hanno scatenato la multa sulla supercazzola..... cioe mboh google shopping, ma sul serio?
  • suc scrive:
    godo come un porco
    come da oggetto
  • xte scrive:
    IMVHO
    Più che multe si dovrebbe imporre il software libero.In questo modo la posizione dominante non infastidisce nessuno perché l'unica cosa veramente "dominante", a patto di avere università pubbliche ben fatte e ricerca pubblica ben sovvenzionata, sarebbe la community, ovvero noi tutti.
    • Zucca Vuota scrive:
      Re: IMVHO
      - Scritto da: xte
      Più che multe si dovrebbe imporre il software
      libero.Non capisco. Si parla di un servizio (in posizione dominante di mercato) che viene usato per propagandare i servizi della stessa azienda.Cosa c'entra il software libero?
      • 5778893 scrive:
        Re: IMVHO
        Te capis na got...
      • bubba scrive:
        Re: IMVHO
        - Scritto da: Zucca Vuota
        - Scritto da: xte

        Più che multe si dovrebbe imporre il software

        libero.

        Non capisco. Si parla di un servizio (in
        posizione dominante di mercato) che viene usato
        per propagandare i servizi della stessa
        azienda.ma che propaganda? mica e' M$ o apple... se uno volesse bastonare dei siti di comparazione di merda, potrebbe iniziare con 'segugio.it' e quegli altri acchiappaclick su assicurazioni e tariffe varie.
    • mannaro scrive:
      Re: IMVHO
      Illusione, dolce chimera sei tu...Trovo giusto quanto affermi, e vorrei anche vedere un potente motore di ricerca opensource, che riesca a diventare competitor dei big data.Ma sono illusioni, e non perché non sarebbe possibile, ma perché la gente è formata da stolti che fanno scelte stolte, cosa visibile in ogni campo.Non mi piace che sia così, perché è una pessima opinione del genere umano, ma la realtà che vedo tutti i giorni mi conferma proprio questo.Masse sterminate di stolti che credono di essere indipendenti e liberi, e relativamente pochi più svegli che ammanniscono quello che vogliono agli stolti di cui sopra, ricevendo in cambio potere, denaro, fama...Mica da oggi eh?!Ma oggi è il trionfo delle masse ammannite.
Chiudi i commenti