Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Sandro Sana : 19 Maggio 2025 10:21

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle colonne portanti della sicurezza informatica moderna. Dovrebbe essere una barriera invalicabile per i criminali informatici. Ma cosa succede se quella barriera, invece di essere abbattuta con la forza bruta, viene semplicemente aggirata con astuzia?

È quello che il team cyber di Eurosystem, composto da Kevin Chierchia (Red TeamMalware Analyst), Fabio Lena (Red Team – Phishing & Awareness Specialist), Leonardo Taverna (Cyber Security Intern) e Bernardo Simonetto (Red Team Threat Hunter), ha voluto scoprire. L’occasione è arrivata durante un’attività di Adversary Emulation per un cliente, dove l’obiettivo era valutare la resilienza reale delle difese aziendali contro scenari verosimili.

E così, è nata una domanda: “È possibile simulare un attacco phishing che riesca a superare anche l’autenticazione a più fattori?”.

Un’impresa che potrebbe sembrare contraddittoria: perché investire tempo e risorse per aggirare una delle più importanti misure di sicurezza esistenti? La risposta è semplice quanto inquietante: perché i criminali informatici lo stanno già facendo. E lo fanno bene.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    È bene ricordare che simulazioni come questa devono sempre essere svolte in ambienti autorizzati e controllati, nel rispetto della legge e degli obiettivi condivisi con il cliente.

    L’idea: MITM tra utente e portale, sfruttando un proxy

    l principio alla base è tanto semplice quanto pericoloso: creare un proxy MITM (Man-In-The-Middle) che si frapponga tra la vittima e il vero portale di autenticazione. In questo modo, tutto ciò che l’utente inserisce – incluse le credenziali e i token MFA – viene intercettato in tempo reale e riutilizzato dall’attaccante per “loggarsi” prima che scada.

    Durante la fase di ricerca, il team si è imbattuto nel documento “Top Phishing Techniques” di Hadess.io, che ha rappresentato una fonte di ispirazione concreta. Da lì, il passo verso la sperimentazione pratica è stato breve

    Evilginx 3 e GoPhish: due volti dello stesso attacco, cocktail perfetto (e velenoso)

    Il cuore del progetto è Evilginx 3, una piattaforma open source pensata per simulare attacchi man-in-the-middle (MitM) altamente sofisticati. A differenza dei classici attacchi di phishing, che mirano a sottrarre username e password, Evilginx è in grado di catturare anche i token di sessione emessi dopo l’autenticazione, rendendo di fatto inutile la protezione MFA in molte sue forme.

    Evilginx agisce come un transparent proxy: clona fedelmente le pagine di login dei principali provider (Microsoft 365, Google, Okta…) e inoltra tutto il traffico tra la vittima e il sito reale. L’utente inserisce le proprie credenziali, supera l’MFA, e nemmeno se ne accorge, perché la risposta arriva dal vero server. Ma nel frattempo, il token di sessione è stato intercettato e può essere utilizzato per accedere direttamente all’account compromesso.

    Il team ha integrato Evilginx con GoPhish, potente framework di social engineering, per orchestrare campagne su larga scala, automatizzate, e personalizzate in base ai profili delle vittime. Il risultato? Una piattaforma ibrida, modulare e perfettamente aderente alle reali minacce che oggi si muovono nel dark web.

    L’impatto reale: se anche l’MFA può cadere

    Il risultato ha dimostrato quanto sia possibile – e realistico – orchestrare un attacco in grado di eludere anche una delle misure difensive più propagandate degli ultimi anni. Ma attenzione: non è un fallimento dell’MFA, né un invito a dismetterla.  Quello che emerge da questo tipo di simulazioni non è solo una vulnerabilità tecnica, ma un problema sistemico. La fiducia cieca nelle tecnologie di autenticazione multifattore rischia di diventare il nuovo anello debole della catena. Non perché l’MFA non funzioni – al contrario, è una barriera indispensabile – ma perché non è infallibile. E soprattutto, non è sufficiente da sola.

    Video che riproduce l’intero attacco che è stato svolto

    Le aziende spesso implementano l’MFA come “sigillo finale” della sicurezza, rilassandosi dietro alla sua presunta inviolabilità. Ma un attacco come quello veicolato tramite Evilginx dimostra che basta un clic sbagliato per far crollare l’intero castello. E quel clic, inutile dirlo, continua a essere umano.

    La formazione: l’unico vero firewall umano

    Siamo chiari: l’MFA è e resta una tecnologia fondamentale. Rinunciarvi sarebbe una follia.

    Ma senza una cultura della sicurezza diffusa, senza un personale formato, consapevole, aggiornato e capace di riconoscere anche i segnali più sottili di un attacco, qualsiasi sistema è destinato a cedere.

    Non c’è tecnologia che possa resistere all’ingenuità, alla fretta, alla distrazione. È per questo che ogni test che conduciamo serve non solo a collaudare le difese digitali, ma anche – e soprattutto – a risvegliare l’attenzione delle persone, mostrando loro che l’inganno può essere perfetto. Che la trappola può sembrare reale. Che la minaccia è dentro la posta elettronica, tutti i giorni.

    Come ci si difende? Tecnologie sì, ma senza le persone non basta

    Dopo aver dimostrato che anche l’MFA può essere aggirato, viene naturale chiedersi: come possiamo proteggerci davvero? La risposta non sta solo nella tecnologia, ma in un approccio multilivello che combina strumenti avanzati e formazione costante.

    Le aziende dovrebbero iniziare a valutare l’adozione di soluzioni MFA resistenti al phishing, come FIDO2 o WebAuthn, che impediscono la riutilizzabilità dei token anche in caso di attacco MITM. Ma non basta. Serve monitoraggio delle sessioni, segmentazione della rete, controlli comportamentali e una solida politica di incident response.

    E poi ci sono le persone. Perché puoi anche blindare ogni porta, ma se chi lavora in azienda non riconosce un finto portale o approva una notifica push MFA mentre è distratto, sei punto e a capo. Le campagne di phishing simulato, i momenti di formazione mirata e il coinvolgimento diretto sono ancora oggi tra le armi più potenti nella difesa aziendale.

    In altre parole: la tecnologia è una barriera, ma la consapevolezza è l’antidoto. Chi si ferma all’MFA ha solo fatto il primo passo.

    Conclusione: tra lupi e pecore, noi restiamo pastori armati

    Abbiamo scelto di camminare sul filo sottile che separa l’attacco dalla difesa, convinti che solo esplorando il buio possiamo illuminare la strada. Evilginx 3 è solo uno degli strumenti che usiamo per questo viaggio nel lato oscuro della rete. Ma è anche una sveglia, una sirena, un urlo: la sicurezza non è mai definitiva. È un processo, una mentalità, una responsabilità condivisa.

    Chi pensa che basti implementare l’MFA per dormire sonni tranquilli, si illude.

    La sicurezza non è una scatola chiusa con un lucchetto, ma un equilibrio dinamico che si basa su tecnologia, processo e soprattutto persone formate e consapevoli.

    E allora continuiamo a testare, a simulare, a violare. Non per distruggere, ma per proteggere meglio. Perché se non lo facciamo noi, lo faranno altri. E loro non verranno con buone intenzioni.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Sindoor Dropper: il malware che usa lo scontro India-Pakistan per infettare Linux
    Di Redazione RHC - 31/08/2025

    Un’insidiosa offensiva di malware, nota come “Sindoor Dropper”, si concentra sui sistemi operativi Linux, sfruttando metodi di spear-phishing raffinati e un complesso processo d’infezione arti...

    Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali
    Di Redazione RHC - 30/08/2025

    E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...

    Il Pentagono avvia un Audit su Microsoft. Si indaga sugli ingegneri cinesi e su presunte backdoor
    Di Redazione RHC - 30/08/2025

    Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...

    La miglior difesa è l’attacco! Google è pronta a lanciare Cyber Attacchi contro gli hacker criminali
    Di Redazione RHC - 30/08/2025

    Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...

    Una exploit Zero-Click per WhatsApp consentiva la sorveglianza remota. Meta avvisa le vittime
    Di Redazione RHC - 30/08/2025

    Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...