Descrivere gli attacchi basati sull'autenticazione
Gli attacchi di autenticazione si verificano quando qualcuno tenta di rubare le credenziali di un'altra persona. Se ci riesce, può poi fingere di essere quella persona. Poiché un obiettivo di questi tipi di attacchi è quello di rappresentare un utente legittimo, spesso possono essere definiti anche come attacchi relativi all'identità. Gli attacchi più comuni sono, ad esempio, dei tipi seguenti:
- Attacco di forza bruta
- Attacco con dizionario
- Credential stuffing
- Keylogging
- "Ingegneria sociale"
Attacco di forza bruta
In un attacco di forza bruta, un criminale tenterà di ottenere l'accesso semplicemente provando diverse combinazioni di nomi utente e password. In genere, gli utenti malintenzionati hanno strumenti che automatizzano questo processo usando milioni di combinazioni di nome utente e password. Le password semplici, con l'autenticazione a singolo fattore, sono vulnerabili agli attacchi di forza bruta.
Attacco con dizionario
Un attacco con dizionario è una forma di attacco di forza bruta in cui viene applicato un dizionario di parole di uso comune. Per evitare attacchi con dizionario, è importante usare simboli, numeri e combinazioni di più parole in una password.
Credential stuffing
Il credential stuffing è un metodo di attacco che sfrutta il fatto che molte persone usino lo stesso nome utente e la stessa password in numerosi siti. Gli utenti malintenzionati useranno credenziali rubate, in genere ottenute dopo una violazione dei dati in un sito, per tentare di accedere ad altre aree. Gli utenti malintenzionati di solito usano strumenti software per automatizzare questo processo. Per evitare il credential stuffing, è importante non riutilizzare le password e modificarle regolarmente, soprattutto dopo una violazione della sicurezza.
Keylogging
Il keylogging implica l'uso di software dannoso che registra le sequenze di tasti. Usando il key logger, un utente malintenzionato può registrare (rubare) le combinazioni di nome utente e password, che possono quindi essere usate per attacchi di credential stuffing. Si tratta di un attacco comune presso gli Internet café o ovunque si usi un computer condiviso per l'accesso. Per evitare il keylogging, non installare software non attendibile e usare software antivirus affidabile.
Il keylogging non si limita ai computer. Si supponga che un criminale installi un dispositivo sul lettore di carte e sul tastierino di uno sportello bancomat. Quando si inserisce la carta, questa passa attraverso il lettore del criminale, che ne acquisisce i dettagli, prima di entrare nel lettore dello sportello bancomat. A questo punto, quando si digita il proprio PIN usando il tastierino del criminale, quest'ultimo ottiene anche il PIN.
"Ingegneria sociale"
Il social engineering implica un tentativo di far rivelare informazioni o eseguire un'azione che rende possibile un attacco.
La maggior parte degli attacchi basati sull'autenticazione comporta lo sfruttamento dei computer o un tentativo di provare molte combinazioni di credenziali. Gli attacchi di social engineering sono diversi perché sfruttano le vulnerabilità degli esseri umani. L'utente malintenzionato tenta di conquistarsi la fiducia di un utente legittimo. Lo convince a divulgare informazioni o a intraprendere un'azione che gli consente di causare danni o rubare informazioni.
Per il furto dei dati di autenticazione possono essere usate diverse tecniche di social engineering, incluse le seguenti.
- Il phishing si verifica quando un malintenzionato invia un messaggio di posta elettronica apparentemente legittimo con l'obiettivo di far rivelare a un utente le sue credenziali di autenticazione. Ad esempio, potrebbe trattarsi di un messaggio di posta elettronica che sembra provenire dalla banca dell'utente. Un collegamento si apre su quella che sembra la pagina di accesso della banca ma, in realtà, si tratta di un sito falso. Quando l'utente accede al sito falso, le sue credenziali diventano disponibili per il malintenzionato. Esistono diverse varianti di phishing, tra cui lo spear phishing, che ha come obiettivo organizzazioni, aziende o individui specifici.
- Il pretexting è un metodo mediante il quale un malintenzionato ottiene la fiducia della vittima e la convince a divulgare informazioni riservate, che possono quindi essere usate per rubare la sua identità. Ad esempio, un hacker potrebbe telefonare fingendo di essere un dipendente della banca e chiedere la password per verificare l'identità del cliente. Un altro approccio si basa sull'uso dei social media. Ad esempio, si può ricevere la richiesta di partecipare a un sondaggio o a un quiz in cui vengono poste domande apparentemente casuali e innocenti che però fanno rivelare fatti personali al partecipante oppure viene proposto un gioco divertente che magari consiste nell'inventare il nome di un gruppo musicale di fantasia usando il nome del proprio animale domestico e del luogo in cui si è nati.
- Il baiting è una forma di attacco in cui il criminale offre una ricompensa o un premio falso per incoraggiare la vittima a divulgare informazioni riservate.
Altri metodi di attacco basato sull'autenticazione
Questi sono solo alcuni esempi di attacchi basati sull'autenticazione. Esiste sempre la possibilità che vengano introdotti nuovi tipi di attacco, ma tutti quelli elencati qui possono essere evitati educando le persone e usando l'autenticazione a più fattori.