▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Phishing che aggira la MFA? Si può fare

Un esperimento rivela come potrebbe essere la prossima frontiera del phishing mirato al furto di credenziali. Un buon punto di partenza per prevenire attacchi molto pericolosi.

Vulnerabilità

Un gruppo di ricercatori ha individuato una tecnica di phishing particolarmente subdola per beffare la MFA e impossessarsi delle credenziali degli utenti. Il trucco, introdotto in diversi kit di phishing, sta nello sfruttare i software di accesso remoto noVNC e i browser in esecuzione in modalità kiosk.

Per comprendere quello che accade è necessario fare un passo indietro. Uno dei maggiori ostacoli al successo degli attacchi di phishing è la protezione degli account mediante l'autenticazione a più fattori (MFA). Per bypassare questo ostacolo un tempo era in voga l’impiego dei proxy inversi. La tecnica divenne talmente popolare che dal 2019 Google e molte altre aziende (compresa LinkedIn) bloccano l’accesso o addirittura disattivano l’account quando rilevano l’impiego di proxy inversi, oltre che di attacchi Man-in-the-Middle (MiTM).


noVNC

Per superare il nuovo ostacolo è sufficiente una tecnica di attacco piuttosto semplice. Consiste nell’impiegare il software di accesso remoto noVNC e i browser in esecuzione in modalità kiosk. Così facendo la vittima vede la richiesta di accesso nel browser e l’attaccante la visualizza sul proprio server.

VNC è un software di accesso remoto, che consente agli utenti remoti di connettersi e controllare il desktop di un utente connesso. Si utilizza per esempio per l’assistenza online. La maggior parte delle persone si connette ai server VNC tramite client VNC dedicati, che aprono il desktop remoto in modo simile al Desktop remoto di Windows.

Esiste anche un programma, chiamato noVNC, che consente di ottenere lo stesso risultato, ma collegandosi al server VNC direttamente da un browser. Facendo l’esempio dell’assistenza da remoto, con VNC il cliente deve scaricare e installare il software VNC sul proprio computer, aprirlo e comunicare all’assistente remoto il codice per l’accesso al proprio computer. Con noVNC la procedura è più semplice, perché il cliente riceve un link via email, e gli basta selezionarlo perché la persona da remoto possa assumere il controllo del computer e risolvere i problemi riscontrati.

Come spesso accade, i cyber criminali individuano le possibilità di sfruttamento di strumenti legittimi e li trasformano in armi del proprio arsenale. In questo caso, l’email di phishing mirato è architettata per indurre con l’inganno la vittima a cliccare su un link contenuto nel testo. Il link di per sé non è dannoso, quindi i filtri antimalware non lo bloccano, e la vittima non si rende conto di avere avviato una sessione VNC: vedrà solo una schermata di accesso per il servizio di posta elettronica mirato e accederà normalmente.

Lato attaccante la procedura è più complessa, perché deve configurare un server con noVNC, eseguire un browser qualsiasi in modalità kiosk, quindi connettersi al sito web a cui l'utente si autenticherà - per esempio accounts.google.com.


Un attacco geniale

Il risultato è notevole: tutti i tentativi di accesso verranno eseguiti direttamente sul server remoto controllato dall’attaccante, che potrà quindi rubare credenziali e token di sicurezza. Nel caso specifico dell’MFA, l'utente legittimo inserirà il passcode monouso direttamente sul server dell'aggressore, autorizzando il dispositivo per futuri tentativi di accesso.

Vale infatti la pena ricordare che VNC consente a più persone di monitorare la stessa sessione, quindi l’attaccante potrebbe disconnettere la sessione della vittima dopo che quest’ultima ha eseguito l’accesso all'account, e riconnettersi alla stessa sessione in un secondo momento per accedere all'account e a tutta la sua corrispondenza.

L’esperimento è riuscito

Fortunatamente, quello che abbiamo descritto non è un attacco esistente in natura, ma un esperimento di un gruppo di ricercatori che hanno cercato di ragionare come cybercriminali per anticiparne le mosse. L’obiettivo è ovviamente quello di allertare le aziende che erogano servizi e che producono soluzioni di cyber security, affinché chiudano la porta a questo tipo di attacco prima ancora che venga sfruttato.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Business Meeting Lexmark Marche | XC9525, la nuova generazione della stampa A3
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security
Lug 10
scrivi qui il titolo...
Lug 10
Boost Your Backup Strategy con Object First: demo live e casi di successo
Lug 10
Parallels RAS: accesso remoto sicuro, semplice, e scalabile per la tua azienda
Lug 11
TPM 2.0: Il Cuore della Sicurezza nei PC Moderni

Ultime notizie Tutto

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1