E' una nuova tecnica, ribattezzata PRMitM (Password reset Man in the Middle): induce la vittima a fornire tutti i dati necessari al cambio password. E' improprio definirlo attacco in quanto, in realtà, è ben più assimilabile al concetto di truffa: PRMitM è una tecnica che non necessita di malware o software dannosi, violazione di siti internet né pagine di phishing. Tutto ciò che occorre è un sito web sotto il controllo dei cyber-criminali che preveda una procedura di registrazione, il resto è pura ingegneria sociale.
Cosa si intende per ingegneria sociale?
Si intende lo studio del comportamento di una persona o di un gruppo di persone, al fine di organizzare meccanismi volti a catturarne l'attenzione e indurre quindi le vittime a rilasciare spontaneamente informazioni sensibili. Si può fare leva sul panico, sull'ignoranza, sul senso di colpa della vittima.
Password reset Man in the Middle
La truffa inizia con la richiesta di compilazione di un falso form di iscrizione ad un sito web sotto
il controllo dei cyber-criminali. L'idea è di indurre la vittima a collegarsi al sito web tramite annunci ingannevoli di vario tipo (anche personalizzati, dopo studio delle preferenze della vittima), indurla a registrarsi al sito e chiedere le informazioni necessarie al reset della password della posta elettronica. Ovviamente le procedure di reset della password variano da servizio a servizio, quindi occorre che l'attacco si adatti passo passo alla procedura di reset del servizio in questione. Le prime richieste quindi saranno il nome e l'indirizzo di posta elettronica: una volta inseriti da parte della vittima, l'attaccante conoscerà sia il servizio di posta sia il nome utente.
il controllo dei cyber-criminali. L'idea è di indurre la vittima a collegarsi al sito web tramite annunci ingannevoli di vario tipo (anche personalizzati, dopo studio delle preferenze della vittima), indurla a registrarsi al sito e chiedere le informazioni necessarie al reset della password della posta elettronica. Ovviamente le procedure di reset della password variano da servizio a servizio, quindi occorre che l'attacco si adatti passo passo alla procedura di reset del servizio in questione. Le prime richieste quindi saranno il nome e l'indirizzo di posta elettronica: una volta inseriti da parte della vittima, l'attaccante conoscerà sia il servizio di posta sia il nome utente.
Lo schema dell'attacco. Fonte College of Management Academic Studies |
Al criminale non resta che fingere di essere il legittimo utilizzatore dell'account. Si verificano di solito 3 casi come procedure di verifica dell'identità dell'utente:
1. L'uso di email con link per il reset della password, usato in realtà da molti servizi internet. In questo caso l'attacco non arriva a termine, perchè il cyber-criminale non conosce la vecchia password.
2. La risposta a domande personali (ad esempio il classico "Qual'è il cognome di tua madre da nubile?")
3. L'invio di un codice tramite SMS.
Nel secondo caso, l'attacco PRMitM è efficacissimo. basterà chiedere alla vittima, tramite il form di iscrizione, la risposta alla domanda segreta. Nel terzo caso basta chiedere alla vittima di fornire il numero di cellulare, magari presentandolo come una necessità per verificare l'identità.
Fino ad ora abbiamo indicato attacchi di tipo manuale, adattati di volta in volta dall'attaccante alla vittima di turno: i ricercatori del College of Management Academic Studies in Israele, autori della ricerca su questa nuova tipologia di truffa, affermano però che il meccanismo possa essere facilmente automatizzato. Unico ostacolo potrebbe essere la richiesta di un CAPTCHA, che sempre più spesso vengono implementati nei siti proprio per limitare le possibilità di azione dei bot. Ma anche questo ostacolo è aggirabile tramite l'uso del Cross-Site Scripting.
Questo è in sunto uno di quei casi in cui, più che i software di sicurezza, l'unico strumento di difesa per l'utente è il proprio buon senso, la necessità di prestare attenzione a tutte le informazioni che si diffondono online e l'abbandono della pessima abitudine di eseguire registrazioni di account o di dare conferme in maniera frettolosa e avventata.
Nessun commento:
Posta un commento