Attacco shock a Gmail: basta un codice da 16 cifre per bypassare la 2FA

Sebbene la MFA (autenticazione multifattore) rappresenti una delle migliori difese contro gli accessi non autorizzati, non tutti i metodi sono ugualmente robusti. Da tempo, Google prescrive – per i suoi account – l’abilitazione e l’utilizzo della verifica in due passaggi: non basta più specificare la password corretta; è necessario superare un controllo aggiuntivo (ad esempio autorizzando l’accesso da un altro dispositivo fisico in proprio possesso). Sono però i ricercatori del Google Threat Intelligence Group (GTIG) ad aver scoperto un attacco shock a danno di utenti Gmail di alto profilo.

Il raggiro sarebbe stato compiuto da un gruppo di hacker russi usando tecniche di ingegneria sociale e l’abuso della funzione Password per le app che Google continua a supportare.

Cos’è “Password per le app” e come permette di bypassare l’autenticazione a due fattori (2FA)

Le Password per le app (ASP, ) sono codici alfanumerici composti da 16 caratteri che ciascun utente in possesso di un account Google può generare da questa pagina. Permettono l’accesso al proprio account Google da applicazioni che non supportano l’autenticazione a due o più fattori (2FA/MFA). Quando si usa una ASP:

• Non viene richiesto il secondo fattore (ad esempio l’inserimento di un codice OTP, la conferma dell’accesso da smartphone,…)
• Il codice sostituisce la password reale solo per l’app specifica (i.e. client email legacy).
• L’accesso avviene solo con nome utente Gmail + ASP, senza alcuna ulteriore verifica.

Il meccanismo di ingegneria sociale usato dagli attaccanti

Nel caso delle aggressioni documentate da Google (andate a buon fine), gli hacker russi si fingevano funzionari del Dipartimento di Stato USA, utilizzando indirizzi Gmail legittimi ma aggiungendo indirizzi contraffatti @state.gov in CC, sfruttando il fatto che il mail server del governo non invia errori (bounce) per email inesistenti. Ciò aumentava la credibilità della comunicazione.

Le vittime ricevevano un PDF benigno (non infetto) con istruzioni per accedere a una fantomatica piattaforma cloud “di Stato”. Il documento PDF guidava l’utente verso la configurazione del suo account istruendolo su come:

• Generare una Password per le app con nome “ms.state.gov” o simile.
• Copiare il codice di 16 caratteri e inviarlo via email all’attaccante, fingendo che fosse necessario per “abilitare comunicazioni sicure”.

Una volta ottenuto il codice ASP, gli attaccanti configuravano un client email (ad esempio Thunderbird, Outlook, Apple Mail) usando l’indirizzo Gmail e la Password per le app trasmessa dalla vittima. L’accesso era immediato e senza alcuna doppia verifica, eludendo così la protezione della verifica in due passaggi Google.

Perché questo attacco è così pericoloso

L’attacco sferrato ad utenti Google di elevato profilo non sfrutta malware né vulnerabilità software, ma solo funzioni legittime dell’account Google. Utilizzando un po’ di creatività, gli attaccanti hanno potuto fare leva su uno strumento come Password per le app per bypassare completamente l’autenticazione a due fattori. Inoltre, l’accesso con ASP non viene sottoposto a verifiche extra e può passare inosservato.

È quindi fondamentale conoscere il problema, evitare l’utilizzo delle Password per le app (a meno che non ci siano proprio alternative) e scegliere soltanto app che supportano l’autenticazione moderna (OAuth + 2FA).