Accesso con account Google e Microsoft: attenzione agli attacchi phishing

Il protocollo aperto OAuth è utilizzato comunemente per effettuare il login su servizi di terze parti senza operare alcuna registrazione.
Cliccando su Accedi con Google, Microsoft, Facebook, Apple e così via è possibile usare uno degli account citati per autenticarsi senza bisogno di compiere passaggi aggiuntivi.

Durante il meccanismo di autenticazione, prima della conferma del login, vengono indicati quali dati dell’account Google, Microsoft, Facebook, Apple vengono trasmessi al sito al quale si sta cercando di accedere.

In un altro articolo abbiamo visto come autenticarsi online con OAuth usando Google, Microsoft, Facebook e altri. In chiusura abbiamo visto che OAuth 2.0 non è esente da rischi i attacchi phishing: i criminali sono costantemente alla ricerca di strategie per sottrarre le password di accesso agli account degli utenti. Come? Presentando pagine di login che imitano quelle del service provider (Google, Microsoft, Facebook e così via, che permettono la gestione dell’autenticazione).

Nuovi attacchi phishing per sottrarre i dati di accesso agli account Google e Microsoft

I ricercatori di Proofpoint hanno scoperto che gli attacchi phishing nei confronti degli utenti stanno diventando sempre più pericolosi perché i criminali informatici hanno iniziato a sfruttare delle lacune nell’implementazione del protocollo OAuth 2.0.

Gli aggressori possono infatti modificare alcuni dei parametri utilizzati nei flussi autorizzativi legittimi alla base del funzionamento di OAuth 2.0 innescando un reindirizzamento del browser verso una pagina arbitraria sotto il controllo dei criminali informatici.
Poiché questo avviene dopo che la vittima ha cliccato su un URL dall’aspetto legittimo appartenente a Microsoft o Google, la vittima può cadere nel tranello e considerare come valida la pagina di destinazione che gli viene proposta.

Il reindirizzamento non autorizzato può essere innescato modificando il parametro response_type inserendovi un valore non valido.
Lo stesso risultato si ottiene intervenendo sul parametro scope in modo che restituisca un errore invalid_resource.
Tutti i dettagli tecnici circa la scoperta di Proofpoint sono illustrati in questo documento.

I ricercatori tengono a precisare che non si tratta di attacchi puramente “teorici” in quanto sono già utilizzati dai criminali informatici per condurre varie campagne phishing tese a rubare le credenziali degli utenti.

Il report di Proofpoint offre molteplici tecniche per proteggere servizi e dati degli utenti: l’approccio più efficace consiste nel non ignorare i parametri non validi e visualizzare invece una pagina di errore. Inoltre, l’implementazione di un ritardo prima del reindirizzamento automatico o l’introduzione di un ulteriore clic di conferma permetterebbe di scongiurare molti tentativi di attacco.

Internet Engineering Task Force (IETF) fornisce importanti raccomandazioni destinate a coloro che implementano server OAuth in modo da poter fidare sul massimo livello di sicurezza possibile.
Un suggerimento essenziale vale comunque per “ogni stagione”: controllate sempre ciò che compare nella barra degli indirizzi del browser e non date mai credito a URL che imitano i nomi a dominio di note aziende. In caso di dubbi si può premere il tasto F12 e controllare attentamente l’URL che compare nella barra del titolo.