Příběh hacku PayPal účtu Briana Krebse: bezpečí je jen chiméra

Pokud budou provozovatelé internetových služeb bezpečnost řešit stejně laxně jako dosud, máme prostě smůlu. Budeme přicházet o účty i peníze.

V minulosti se objevila řada případů ukazujících, jak snadné může být hacknout někomu online účty. Nakonec to byl před mnoha a mnoha lety Kevin Mittnick, který světu ukázal, že s trochou trpělivosti, správnými informacemi a štěstím se lze dostat tam, kam by se normálně dostat dát nemělo.

Brian Krebs v 2016 Reality: Lazy Authentication Still the Norm ukazuje, že ani po mnoha letech zkušeností s laxním přístupem firem k bezpečnosti se nezměnilo nic. Stačila znalost veřejně dostupných údajů a PayPal ochotně vydal Krebsův účet zcela cizí osobě. Ta se navíc pokusila z účtu převést peníze hackerskému gangu, který je spojován s džihádisty a ISIS. Celkem jednoduchá snaha poškodit Krebse nejenom finančně, ale případně ještě na pověsti.

PayPal by měl být bezpečný, nemyslíte?

Večer na Štědrý den dostal Brian Krebs e-mailem upozornění, že k jeho účtu na PayPal byl přidán další kontaktní e-mail. Tehdy se mu ještě podařilo okamžitě přihlásit, změnit heslo, odstranit přidaný e-mail a nastavit zpět ten správný.

Po telefonátu s PayPalem zjistil, že se útočník prý přihlásil jménem a heslem a byl ujištěn, že PayPal bude účet hlídat a nemá se prý trápit. O dvacet minut později se na jeho účtu na PayPalu opět objevil přidaný cizí e-mail, ale Krebsovi se už nepodařilo přihlásit, heslo bylo změněno. A jeho pravá e-mailová adresa už nebyla nastavena jako kontaktní.

Pokud si něco takového spojíte s příslibem uživatelské podpory, že se bude účtu věnovat a hlídat jej, je asi jasné, že to prostě říkají každému a přitom vůbec nic neřeší. Přidaný e-mail byl dokonce stejný jako při prvním pokusu o útok.

Krebs měl štěstí v tom, že PayPal nakonec účet zablokoval v okamžiku, kdy se z něj útočník pokoušel převést peníze, ale tím jeho trápení zdaleka nekončí. Krebsův další telefonát s nadřízeným lidí z uživatelské linky PayPaylu totiž vedl ke zjištění, že útočník žádné jméno a heslo nepoužil. Takže pokud tomu stále nerozumíte, uživatelská podpora i v tomto případě prostě použila nějaké naučené odpovědi, které nemají s realitou nic společného.

Sociální inženýrství a lidská hloupost

Jak to tedy bylo? Útočník prostě zavolal do PayPalu, vydával se za Briana Krebse a podařilo se mu dosáhnout resetu hesla. Vrcholem absurdity je, že to dokonce udělal dvakrát. Stačilo mu k tomu vědět poslední čtyři číslice z čísla sociálního pojištění a poslední čtyři číslice staré platební karty.

Čistě teoreticky by podobné informace neměly být snadno dostupné, ale u Briana Krebse se dostaly na veřejnost mnohokrát – udělal si nepřátele, kteří se mu snaží znepříjemňovat život a poškodit jej. Navíc je docela dobře možné, že by se údaje daly opatřit i jinými způsoby sociálního inženýrství.

Situace v USA je v tomto ohledu tristní. Právě ony „poslední čtyři číslice“ obou údajů už v minulosti stály za záplavou hacků a krádeží identit. Přesto jsou v USA stále hromadně používány. Je to dost podobné situaci u nás s hojně používanými bezpečnostními otázkami – viz Otázky pro získání zapomenutého hesla? Fatálně nebezpečná záležitost. Nebo absurdním nápadům operátorů, kde si můžete coby „heslo“ pro online samoobsluhy dávat pouze čtyři číslice.

Hacknout bylo snadné, získat zpět problém

Brian Krebs si po hacknutí prošel dalším klasickým peklem – aby PayPal obnovil účet, bylo nutné posílat kopie/scan řidičského průkazu. Tedy něco, co se dá stejně zmanipulovat, protože s pomocí Photoshopu lze vyrobit cokoliv dostatečně přesvědčivého. A jak Krebs sám uvádí, dokonce na něco takového existují online služby.

Je dost pochopitelné, že Krebs tento jediný způsob, jak ověřit identitu uživatele, považuje za absurdní. PayPal mu nabídl mimochodem ještě jednu: ověření přes „veřejné záznamy“. Dozvěděl se ale něco, co ho nepochybně muselo rozesmát: představitel PayPalu mu totiž vysvětlil, že pro takovéto údaje by nejspíš bylo nutné jít někam do soudních záznamů.

Používat PayPal může být opravdu problém

Brian Krebs navíc upozorňuje, že už s omezeními PayPalu měl zkušenost například v době, kdy se stal cílem podvodných plateb – na jeho účet někdo posílal peníze z kradených účtů na PayPalu, které navíc nebyly založené na hotovosti, ale na kreditních kartách. Zastavit se mu to podařilo až poté, co po řadě telefonátů k zásahu přesvědčil PayPal – což je něco, co by se běžnému uživateli nepodařilo ani omylem.

A nezapomeňme ani na situace, kdy se PayPal prostě rozhodl zmrazit něčí účet. Situace, kdy se ničeho a nikoho nedovoláte – a přesně tak to v minulosti často vypadalo. Dost často pomáhala pouze medializace. Ale budiž, prostě špatné věci se stávají.

Zabezpečit účet nějakým tím dvoufaktorem?

Brian Krebs uvádí, že v jeho případě nepomohlo ani to, že používá dvoufaktorové zabezpečení, tedy takovou tu typickou klíčenku, která generuje kód (PayPal tomu říká PayPal Security Key). Ale jak můžete právě z popsaného případu vidět, stačí, když někdo zavolá telefonicky, úspěšně se za vás vydává a připraví vás o účet. A onen generátor kódů vám nepomůže.

PayPal Security Key? Aktuálně jenom 404

PayPal Security Key? Aktuálně jenom 404

Žádné pokročilejší metody zabezpečení s využitím mobilních zařízení PayPal nenabízí. Nakonec i pouhé číslo mobilního telefonu může být vhodné jako nástroj pro některé způsoby a úrovně ověření. Byť i tady je riziko, že mobilní telefon nemá zrovna osoba, která ho mít má. A dodejme, že by to asi v případě PayPalu stejně nefungovalo, protože by jistě útočníkovi umožnili nastavit jiné mobilní číslo stejným způsobem, jakým mu umožnili reset hesla.

PayPal (ale nejenom on) by prostě měl překročit svůj stín a přestat se chovat podle návyků z minulého století, které zahrnují ověřování „identit“ podle snadno zjistitelných informací nebo podle ještě snáze podvrhnutelných podkladů.

Používáte PayPal? Dávejte si pozor

Pokud používáte PayPal, měli byste si dávat pozor a nenechávat na účtě ležet peníze. Stejně jako není zcela dobrý nápad k účtu připojit platební kartu a umožnit z ní strhávat peníze bez autorizace. Pokud zanedbáváte přihlašovací údaje, nepoužíváte ověřování přihlášení (PayPal by měl umět i SMS ověření, ale je otázka, jak to podporuje v které zemi), tak si také koledujete o problémy.

EBF6

PayPal a zabezpečení účtu? Nic, prostě nic. Asi zase žijeme ve špatné zemi ve špatném čase.

PayPal a zabezpečení účtu? Nic, prostě nic. Asi zase žijeme ve špatné zemi ve špatném čase.

Bohužel pro Česko v sekci Security nic moc užitečného nenajdete. Můžete si pořídit bezpečnostní otázky, ale tady už nastupuje opět citelně parodický přístup PayPalu k bezpečnosti – na výběr je město narození a dívčí jméno matky. Tedy opět ty nejprofláklejší a běžně dostupné informace, takže vám nezbude nic jiného, než je správně uchopit jako další generovaná složitá hesla (nebo postupovat podle pravidla, že na bezpečnostní otázky nikdy nedáváme pravdivé odpovědi).

Z čehož plyne, že pokud už používáte PayPal, tak váš tamní účet berte jako permanentně potenciálně ohrožený.

30 názorů Vstoupit do diskuse
poslední názor přidán 11. 2. 2016 8:40

Školení: Obsahová strategie a content marketing

  •  
    Proč je obsahový marketing výrazným trendem.
  • Jak navrhnout užitečnou obsahovou strategii.
  • Jak zlepšit workflow a výsledky copywritingu.

Detailní informace o školení content strategy »