Forse non tutti sanno che vi è un fenomeno crescente di creazione di pagine malevole che sfruttano il Single Sign-On (SSO) per rubare le credenziali degli utenti.
Questa forma di attacco di phishing è cresciuta con la popolarità e la semplificazione del processo di login tra i siti Web che utilizzano il Single Sign-On, sempre più ampiamente utilizzati.

Ma che cos’è il Single Sign-On?
Il Single Sign-On (SSO) è appunto un sistema per semplificare il processo di login, consentendo agli utenti di utilizzare un’unica credenziale per accedere a più applicazioni.
Il SSO non richiede all’utente di ricordare più credenziali di account diversi (ognuna per accedere ad ogni applicazione). Questo sistema consente di eliminare la necessità di introdurre userid e password per ogni applicazione durante una sessione, migliorando la user experience.
IL sistema SSO viene realizzato autenticando l’utente rispetto ad una Directory, un DB che lega lo User e le sue authority relativamente alle applicazioni a cui può accedere. Questo tipo di repository viene definito Lightweight Directory Access Protocol (più brevemente LDAP).
Google, Facebook e Twitter sono tra le applicazioni popolari che offrono sistemi SSO agli utenti.
Il sistema di SSO può anche essere esteso a servizi di terze parti. Ad esempio, molte applicazioni consentono agli utenti di accedere al proprio account utilizzando l’autenticazione di Google o Facebook.

Ma come può essere utilizzato in modo fraudolento il sistema SSO?
La disponibilità di SSO è in costante aumento tra le applicazioni, il che ha portato molti hacker a tentare di sfruttarne le potenzialità. In pratica sono state realizzate delle pagine dannose che fingono di essere le pagine di accesso di applicazioni come Dropbox o la stessa Google, Facebook o altro sito / social.
Quando gli utenti immettono le proprie credenziali, i dati vengono raccolti dalla pagina malevole anziché essere utilizzati nell’applicazione desiderata.
Prima dell’avvento del sistema di SSO, gli hacker dovevano creare una pagina separata per ogni servizio del quale volevano rubare le credenziali. Invece con il SSO possono creare un’unica pagina di phishing.

Cosa si può fare per essere più al sicuro?
Per il momento il modo migliore per proteggersi dagli attacchi di phishing SSO è di abilitare l’autenticazione a due fattori. Questo tipo di autenticazione secondaria, rende più difficile agli hacker, l’accesso al vostro account. Questo oggi sembra essere il sistema migliore che però non è comunque sicuro al 100% e a seconda di come viene implementato può essere più o meno sicuri. Tra i tanti sistemi di dual factor authentication vi sono soluzioni che utilizzano il canale SMS per ricevere i codici di validazione. Questo tipo di soluzione sconsigliare, poiché non è sicuro come altri metodi.

di Paolo Montali

La Cassazione ha, in una recente pronuncia, ritenuto che integra il reato di sostituzione di persona (494 Cod. Pen.) la condotta di colui che crei ed utilizzi un account ed una casella di posta elettrica o si iscriva ad un sito e-commerce servendosi dei dati anagrafici di un diverso soggetto.

Nel caso affrontato, il soggetto sostituito era inconsapevole del fatto che il reato era stato commesso ai suoi danni per fare ricadere le conseguenze derivanti dall’inadempimento delle obbligazioni conseguenti all’avvenuto acquisto di beni mediante la partecipazione ad aste in rete o altri strumenti contrattuali.

Questa pronuncia, senza essere particolarmente innovativa, rispecchia un consolidato orientamento della Suprema Corte secondo il quale la partecipazione di un soggetto ad aste on-line con l’uso di uno pseudonimo attribuendosi falsamente le generalità di un diverso soggetto integra il reato di sostituzione di persona.

Peraltro, la creazione e l’utilizzo di account falso e la conseguente realizzazione del reato può comportare, nei casi più gravi, anche lo sfruttamento abusivo dell’immagine reale e delle sembianze di un terzo soggetto.

Sotto il profilo soggettivo, infine, il dolo specifico del reato di sostituzione di persona viene integrato quando vi è coscienza e volontà di sostituirsi a un terzo con l’ulteriore scopo di arrecare a questi un danno o di assicurarsi un vantaggio anche non necessariamente economico.

 

di Giacomo Conti