back to top

Cybersecurity: attenti agli attacchi BITB

Gli attacchi BITB (Browser In The Browser) si basano su una nuova modalità di phishing che aggiunge un ulteriore livello di rischio per tutti coloro che sfruttano sistemi di autenticazione basati su soluzioni di terze parti. Tale minaccia è stata segnalata dal ricercatore di sicurezza mr.d0x nel suo blog personale e sarebbe stata già sfruttata per la sottrazione di dati personali.

Diverse piattaforme permettono di accedere ai propri servizi autenticandosi tramite un account Facebook, Google, Microsoft, Twitter, Apple o altro sfruttando il protocollo di rete OAuth. Quest’ultimo opera in base ad una delega per cui il token generato in fase di login può essere approvato automaticamente anche dal sito Web a cui l’utente cerca di accedere.

Il maggiore vantaggio di OAuth risiede nel fatto che grazie ad esso non si ha la necessità di effettuare una nuova registrazione ad un servizio, basta utilizzare le credenziali già attivate in altre piattaforme. Gli attacchi BITB propongono una finestra di accesso del tutto simile a quella visualizzabile tramite OAuth e in questo modo sono in grado di sottrarre username e password.

Dato che le aziende che offrono l’autenticazione via OAuth sono nella maggioranza di casi autorevoli, un’azione malevola basata sul BITB potrebbe risultare molto efficace in quanto gli utenti tendono a fidarsi maggiormente quando si trovano davanti al logo di una grande azienda. Le pagine utilizzate per gli attacchi sono poi del tutto simili a quelle che verrebbero mostrate in una normale procedura di autenticazioni con OAuth.

Come difendersi da una minaccia difficilmente riconoscibile come il BITB? Il consiglio potrebbe sembrare banale ma la soluzioni migliore contro questo tipo di rischi è sicuramente l’uso dell’autenticazione a due fattori, solo in questo caso infatti si avrà la sicurezza che il servizio utilizzato per il login sia autentico e l’eventuale cessione di credenziali non avrà efficacia.

Pubblicitร 
Claudio Garau
Claudio Garau
Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.

Leggi anche...

Lidl: diffidate dalle false pubblicitร  su YouTube

Lidl Italia, una delle piรน note catene della grande...

Phishing: occhio alle finte e-mail dell’Agenzia delle Entrate

Come segnalato nelle scorse ore dall'ente stesso, attualmente in...

Microsoft: controlli più severi per la sicurezza

Recentemente Microsoft è stata oggetto di critiche da parte...

Chrome: scansione dei file contro i malware

Google Chrome, il browser Web più utilizzato al mondo,...

Google: l’acquisizione di Wiz non ci sarà

Alcuni giorni fa è circolata l'indiscrezione secondo cui Google...

Kaspersky abbandona gli USA dopo il ban

Kaspersky, compagnia russa specializzata nelle soluzioni per la Cybersecurity,...
Pubblicitร