PRMitM, il nuovo attacco che fa tremare il Web

Password robuste? Autenticazione a due fattori? Con la tecnica "Password Reset Man in the Middle" un hacker può prendere comunque possesso di un account interponendosi nelle procedure di recupero delle password
Password robuste? Autenticazione a due fattori? Con la tecnica "Password Reset Man in the Middle" un hacker può prendere comunque possesso di un account interponendosi nelle procedure di recupero delle password

Alcuni ricercatori del College of Management Academic Studies , il più grande ateneo dello Stato di Israele, hanno recentemente pubblicato un articolo nel quale viene illustrata una nuova tecnica di social engineering consistente nell’ applicazione dell’approccio man-in-the-middle (nel quale l’attaccante intercede in una comunicazione lecita tra client e server) per violare i meccanismi a disposizione dell’utente per il recupero delle password .

L’attacco, chiamato PRMitM ( Password Reset Man in the Middle ), risulta semplice nel concetto ma elaborato nell’applicazione, e prevede l’utilizzo di apposite piattaforme di backend in grado di assumere il ruolo di intermediario nell’operazione di ripristino della password dimenticata in molte piattaforme e applicazioni Web.
CAPTCHA, domande di sicurezza, codici di verifica via SMS o autenticazione a due fattori non sono un ostacolo per l’attaccante: la richiesta per l’informazione eventualmente necessaria viene inoltrata alla vittima ; per tale ragione la piattaforma utilizzata nell’attacco deve integrarsi appieno con il servizio target.

Diagramma di sequenza dell'attacco

Uno degli scenari di attacco presentati è effettuato, ad esempio, tramite un sito Web per il quale un utente effettua l’iscrizione , magari per effettuare l’accesso ad un’area riservata o al download di file. Nel momento in cui l’ignara vittima specifica il proprio indirizzo di posta elettronica può iniziare l’attacco vero e proprio: a questo punto infatti, l’attaccante può avviare la procedura di recupero password e chiedere all’utente qualunque informazione necessaria a portare a termine l’operazione , proponendo di compilare le risposte segrete relative alle stesse domande configurate per l’account vittima, o chiedendo altri dettagli necessari.

In caso di autenticazione a due fattori effettuata tramite SMS o chiamata telefonica, è possibile sfruttare il fatto che in molti casi (ad esempio Google) i provider non inseriscono il proprio nome nel messaggio o nella chiamata ricevuta ; l’utente non è perciò in grado di riconoscere la reale provenienza del messaggio.

Gli account più sensibili a questa minaccia sono senza dubbio quelli relativi a servizi di posta elettronica , che possono rappresentare una superficie di attacco molto ampia grazie al fatto che spesso costituiscono il punto di ingresso per l’autenticazione verso altri servizi . L’accesso alla casella di posta, come noto, costituisce il punto di fallimento per la maggior parte delle piattaforme online, le quali inviano i link per il ripristino delle credenziali tramite email .
Nell’ambito della ricerca sono stati effettuati test specifici nei confronti di Facebook e Google, che sono risultati entrambi vulnerabili nonostante le misure di sicurezza adottate; altri servizi come WhatsApp, Telegram, Snapchat risultano però ugualmente attaccabili .

Patrizio Tufarolo

Link copiato negli appunti

Ti potrebbe interessare

28 06 2017
Link copiato negli appunti