Společnost Soitron informuje, že podle dostupných studií více než 80 % všech bezpečnostních narušení dochází v souvislosti s hackingem, a to především z důvodu kompromitovaných a slabých přihlašovacích údajů.
Čísla, která přitom zveřejnila společnost Microsoft, naznačují, že uživatelé, kteří povolili vícefázovou, nebo také dvoufaktorovou autentizaci, nakonec zablokovali asi 99,9 % automatizovaných útoků.
„To je skvělé číslo, ale jako u každého dobrého řešení kybernetické bezpečnosti útočníci mohou přijít na způsoby, jak ho obejít. A jak dokládá nedávný případ kryptoměnové burzy Coinbase, to se také stalo,“ prozrazuje Martin Lohnert ze Soitronu.
Jak lze zabezpečení obejít?
Soitron podotýká, že dvoufaktorovou autentifikaci lze obejít na základě jejího principu fungování. Tedy prostřednictvím vypátrání, lépe řečeno odcizení např. jednorázových kódů zaslaných v SMS na mobilní telefon uživatele.
Tato metoda spočívá v tom, že hackeři nejprve na základě vyzrazeného seznamu e-mailů zašlou uživatelům e-mailové sdělení, které se tváří např. jako zpráva od banky. Pokud v něm uživatel klikne na odkaz, dojde k otevření webové stránky, která vypadá legitimně – jako kdyby byla banky.
Nové je ovšem podle expertů to, co následuje poté. Útočníci totiž často jako URL adresu použijí například tvar www.mojebanka.cz.resethesla.cz – doménou druhého řádu tedy není www.mojebanka.cz, ale resethesla.cz.
Ještě více alarmující podle Soitronu je, že pokud na tento web přejde uživatel z mobilního telefonu, tak se mu v případě, že adresa banky je delší, nemusí zobrazit celá. Právě této zranitelnosti UX hackeři využívají.
Podvodná stránka může v případě tohoto „triku“ také použít SSL zabezpečení (URL začíná https://), aby díky v browseru zobrazenému zámku evokovala v uživatelích pocit bezpečnosti.
Vše začíná phishingem
Pokud na podvrženou adresu uživatel skočí, pak hackeři využijí phishingový útok. K tomu stačí, aby jejich web 1:1 vypadal jako ten patřící bance. Na přihlašovací stránce uživatel zadá jméno a heslo. Tím hacker získá první klíč pro vstup.
Okamžitě, tedy v reálném čase po obdržení, tyto údaje ručně zadá do opravdového webového rozhraní banky. Ta jeho majiteli na jeho mobilní telefon pošle autentifikační SMS kód, a pokud ho uživatel zadá opět do podvržené stránky, má hacker, co potřebuje.
Následně se ocitne v internetovém bankovnictví uživatele, kde ihned zadá příkaz k platbě. Ten je zapotřebí opět potvrdit. Proto uživateli na mobil přijde SMS kód, ale protože stále na podvržené stránce čeká na vstup do banky, tak se mu v tomto mezidobí zobrazí například hlášení, že ho přihlašují, ať chvilku počká.
Následně se uživateli zobrazí informace o tom, že první přihlášení se nepovedlo a ať zadá druhý SMS kód, který mu byl právě odeslán.
„A to je ten kód, který slouží k potvrzení provedení skutečné platby. Jestliže si tohoto upozornění v SMS uživatel nevšimne, a zadá ho do phishingové stránky, hacker ho přepíše do internetového bankovnictví a peníze se mu povede z účtu odčerpat,“ upozorňuje Lohnert.
Přepisování kódů pod palbou
„Proto je mnohem bezpečnější používat novější typy dvoufázového ověřování, a to prostřednictvím specializovaných aplikací. V nich je právě eliminováno riziko přepisování kódů a vše se děje v rámci rozhraní banky automaticky,“ uvádí Lohnert.
Starší podoby, tedy právě ruční přepisování jsou přitom dále využívány nejen různými službami – mimo jiné v aplikaci Google Authenticator, Microsoft Authenticator a právě některými bankami.
Soitron na závěr upozorňuje, že ačkoliv musí být splněno několik podmínek a na sebe navazujících kroků, aby výše uvedené útoky fungovaly, prokazují zranitelnost ve dvoufázových identifikačních metodách založených na SMS a také to, že tyto útoky nevyžadují vysoké technické schopnosti.
Zdroj: Soitron
