Hlavní navigace

Hackeři zkoušejí posílat falešné SMS k překonání dvoufaktorového ověření

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal 15. 6. 2016

Dvoufaktorové ověření je zatím jedním z mála způsobů, jak poměrně spolehlivě chránit účet před cizími lidmi. Nesmíte se ale nechat nachytat.

Dvoufaktorové ověření přihlášení k účtům funguje jednoduše. Pokud se někde přihlašujete, zadáváte normální přihlašovací údaje: e-mail či přihlašovací jméno a k tomu klasické heslo. Abyste se ale dostali dál, musíte doplnit ještě kód dvoufaktorového ověření. Ten většinou dostanete z nějaké mobilní aplikace – ať už univerzální (třeba Google Authenticator), nebo přímo od mobilní aplikace oné služby (jako to dělá například Facebook). Druhá obvyklá možnost je, že kód pro přihlášení dostanete v SMS.

Bez zadání správného kódu se pak případný útočník nemůže přihlásit, a to ani v okamžiku, kdy se mu podařilo získat vaše heslo. Po zadání onoho ověřovacího kódu (dvoufaktorové nebo dvoufázové ověření se to jmenuje právě proto, že máte druhou úroveň ověření) si můžete navíc zvolit, jestli budoucí přihlašování z onoho konkrétního místa (většinou se tím rozumí prohlížeč) bude možné bez dvoufaktorového ověřování, nebo zda je nutné ho požadovat i příště.

Minulý týden Alex MacCaw na Twitteru ukazoval screenshot SMS, kterou dostal na  mobil. Na první pohled vypadá jako klasické upozornění, že se někdo pokoušel přihlásit k vašemu účtu – což je funkce, kterou je také dobré si u online účtů aktivovat (tedy pokud to daná služba umožňuje).

Jak ale můžete vidět z obrázku, varování navíc obsahuje pokus o tzv. sociální inženýrství – vybízí uživatele, aby na tuto SMS odpověděl číslem, které dostane v další SMS. A tou další SMS samozřejmě bude skutečný kód dvoufázového ověření vyvolaného útočníkem, který se snaží přihlásit k vašemu účtu.

Celý postup je poměrně jednoduchý. Útočník se dozvěděl přihlašovací údaje (ID, heslo) a telefonní číslo své oběti. Na telefonní číslo pošle výše uvedenou SMS a vzápětí se pokusí přihlásit k účtu oběti. Tím vyvolá odeslaní SMS s číselným kódem. Pokud se oběť nechá napálit, pošle útočníkovi právě potřebný kód dvoufaktorového ověření. Výsledkem je, že se útočníkovi podaří dostat na účet.

Pokud se domníváte, že by případnou oběť mělo odradit neznámé číslo odesílatele oné phishingové zprávy, i tohle se dá řešit. Není těžké místo čísla podvrhnout text, tedy například „Google“, „Apple“ či cokoliv dalšího.

Na výše uvedeném phishingu je poměrně chytré to, že po oběti nechce heslo ani kód „pro přístup“, zkouší to přesně opačně. Vyvolá obavu a nabízí řešení, aby se zamezilo možnému problému: „Google“ vám umožní zablokovat přístup útočníka k účtu. Realita je sice opačná, ale na obyčejné uživatele tohle fungovat může.

Našli jste v článku chybu?

15. 6. 2016 22:56

2FA přes sms je slepá cesta a postupně se bude bezpečnost takového řešení snižovat. Na androidu do sms má přístup velké množství aplikací, sms je po cestě nedostatečně zabezpečená atd.

Osobně vidím východisko v OTP a nejlépe se mi používá TOTP. Dá se to relativně snadno zabudovat do HW tokenu. Nutnost použít fyzické zařízení autorizaci je zatím nejlepší způsob jak věrohodně něco prokázat.

Bohužel člověk musí mít pro každou službu další token, uvítal bych kdyby bylo samozřejmé přihlašování přes…

17. 6. 2016 8:57

Já si zase všiml, že práva můžu nastavit v androidích Settings - > Apps (gear ikonka) -> Configure Apps -> App permissions... Takže na výběr je, přinejmenším u androidu 6 (~ 10 % market share?), popřípadě u upravených starších verzí od výrobce...

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Změny v daních z příjmů pro podnikatele

Změny v daních z příjmů pro podnikatele

Podnikatel.cz: E-Ježíšek si i letos zařádí. Nákupy od 2 do 5 tisíc

E-Ježíšek si i letos zařádí. Nákupy od 2 do 5 tisíc

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)