Hlavní navigace

Hackeři zkoušejí posílat falešné SMS k překonání dvoufaktorového ověření

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal 15. 6. 2016

Dvoufaktorové ověření je zatím jedním z mála způsobů, jak poměrně spolehlivě chránit účet před cizími lidmi. Nesmíte se ale nechat nachytat.

Dvoufaktorové ověření přihlášení k účtům funguje jednoduše. Pokud se někde přihlašujete, zadáváte normální přihlašovací údaje: e-mail či přihlašovací jméno a k tomu klasické heslo. Abyste se ale dostali dál, musíte doplnit ještě kód dvoufaktorového ověření. Ten většinou dostanete z nějaké mobilní aplikace – ať už univerzální (třeba Google Authenticator), nebo přímo od mobilní aplikace oné služby (jako to dělá například Facebook). Druhá obvyklá možnost je, že kód pro přihlášení dostanete v SMS.

Bez zadání správného kódu se pak případný útočník nemůže přihlásit, a to ani v okamžiku, kdy se mu podařilo získat vaše heslo. Po zadání onoho ověřovacího kódu (dvoufaktorové nebo dvoufázové ověření se to jmenuje právě proto, že máte druhou úroveň ověření) si můžete navíc zvolit, jestli budoucí přihlašování z onoho konkrétního místa (většinou se tím rozumí prohlížeč) bude možné bez dvoufaktorového ověřování, nebo zda je nutné ho požadovat i příště.

Minulý týden Alex MacCaw na Twitteru ukazoval screenshot SMS, kterou dostal na  mobil. Na první pohled vypadá jako klasické upozornění, že se někdo pokoušel přihlásit k vašemu účtu – což je funkce, kterou je také dobré si u online účtů aktivovat (tedy pokud to daná služba umožňuje).

Jak ale můžete vidět z obrázku, varování navíc obsahuje pokus o tzv. sociální inženýrství – vybízí uživatele, aby na tuto SMS odpověděl číslem, které dostane v další SMS. A tou další SMS samozřejmě bude skutečný kód dvoufázového ověření vyvolaného útočníkem, který se snaží přihlásit k vašemu účtu.

KL_HLASOVANI

Celý postup je poměrně jednoduchý. Útočník se dozvěděl přihlašovací údaje (ID, heslo) a telefonní číslo své oběti. Na telefonní číslo pošle výše uvedenou SMS a vzápětí se pokusí přihlásit k účtu oběti. Tím vyvolá odeslaní SMS s číselným kódem. Pokud se oběť nechá napálit, pošle útočníkovi právě potřebný kód dvoufaktorového ověření. Výsledkem je, že se útočníkovi podaří dostat na účet.

Pokud se domníváte, že by případnou oběť mělo odradit neznámé číslo odesílatele oné phishingové zprávy, i tohle se dá řešit. Není těžké místo čísla podvrhnout text, tedy například „Google“, „Apple“ či cokoliv dalšího.

Na výše uvedeném phishingu je poměrně chytré to, že po oběti nechce heslo ani kód „pro přístup“, zkouší to přesně opačně. Vyvolá obavu a nabízí řešení, aby se zamezilo možnému problému: „Google“ vám umožní zablokovat přístup útočníka k účtu. Realita je sice opačná, ale na obyčejné uživatele tohle fungovat může.

Našli jste v článku chybu?
Lupa.cz: Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Kdo vyhraje Kříšťálovou Lupu? Hlasování začalo!

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Lupa.cz: Adblock Plus začal prodávat reklamy

Adblock Plus začal prodávat reklamy

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Root.cz: Prvních 700 routerů Omnia je hotových

Prvních 700 routerů Omnia je hotových

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst