Salve a tutti,
volevo chiedere se secondo voi fosse possibilie bypassare l'autenticazione a due fattori implementata da qualunque sito. E' davvero così sicura o esistono dei metodi e delle vie alternative per superarla?
Grazie per l'attenzione ☺
Allora, il bypass dell'autenticazione a due fattori con numero di telefono è possibile, ma con una dose di social engineering e qualche sotterfugio tecnico.
Una volta ottenuto il numero di telefono del bersaglio (che è la cosa che ci serve di più) basterà appropriarsene (sim swapping/cloning), deviare o sniffare.
Per sniffare potremmo sfruttare una vulnerabilità del sistema SS7, ma è improbabile un attacco simile, sia per soldi (se non hai certi contatti è impossibile) sia per il rischio che corrono chi accede alla rete SS7 per fare questo tipo di operazioni.
La vuln SS7 può essere usata su sistemi quali Telegram/Whatsapp/Instagram ad esempio.
Il bypass della 2FA relativa alla email può essere fatta passivamente o attivamente.
Passivamente possiamo vedere cookie grabbing ad esempio, oppure basarsi sulle sessioni e sull'impersonificazione insomma (anche attraverso IP Spoofing).
Attivamente possiamo vedere l'hacking della mail, e quindi il conseguente possesso del codice di autenticazione, ad esempio.
Inutile dire che tutte le tecniche hanno bisogno di una buona dose di social engineering, come un buon hacker sa.