Negli USA ci sono campagne basate sul social engineering in cui si cerca di rubare gli account di Gmail utilizzando la funzione di conferma via SMS.
Una delle opzioni offerte da Gmail in caso di perdita della password è l’invio di un codice di verifica ad un numero cellulare fornito in precedenza, se un attaccante conosce l’account di Gmail e utilizza metodi di social engineering per carpire il codice inviato, il gioco è fatto.
Ecco un esempio di come sia possibile un sistema del genere.
L’attaccante invia ad un gruppo di destinatari un SMS con un testo tipo
Hai Vinto! Vai su xxxxxxx.com e inserisci il codice 12345!
Se la vittima abbocca, quando inserisce il codice, gli viene richiesta la mail; il codice è univoco, quindi l’attaccante conosce già il numero di cellulare associato e la vittima non fa altro che chiudere il cerchio associando la mail al numero di cellulare.
Se la mail inserita è di Gmail, il sito richiede la riemissione della password a Gmail tramite autenticazione via SMS e utilizza tecniche di social engineering per convincere la vittima a non mettere il codice su Google, bensì ad inserirlo in un form sul sito stesso. E voilà!
Naturalmente con questa tecnica non si attaccano solamente gli account di Gmail, ma tutti gli account o i contesti in cui è previsto l’inserimento di un codice di autorizzazione inviato via SMS. I gestori che utilizzano questi sistemi dovrebbero tener presente questo rischio e chiarire bene agli utenti che i codici inviati via SMS devono essere utilizzati solamente nei contesti previsti. (via Technology Review)
Lascia un commento