Hackeři vědí, jak obejít dvoufázové ověření. Útok je jednoduchý, jak se bránit?

Dvoufázové přihlašování s využitím hesla a zaslaného kódu je bezpečnější než heslo samotné. Jak ale nedávno na vlastní kůži poznali uživatelé kryptoměnové burzy Coinbase, sebelepší zabezpečení nemusí na promyšlenou taktiku útočníků stačit. Jak útočníci dokáží účty s vícefaktorovým zabezpečením napadnout?

Je dobře známo, že pro bezpečný přístup k on-line službám už dlouhou dobu nestačí používat jen uživatelská jména a hesla. Proto se používá další level zabezpečení – vícefázové ověřování – které se stalo v mnoha případech nutností. K přihlašování pomocí hesla přidává ještě další nezávislou metodu. Jak se však ukázalo, ani toto nemusí být dostačující. Problém není v samotné technologii, ale největší slabinou, jak se ukazuje, je i tady sám uživatel.

I dobré zabezpečení mohou útočníci obejít

Studie ukazují, že k více než 80 % všech bezpečnostních narušení dochází v souvislosti s hackingem. Především z důvodu kompromitovaných a slabých přihlašovacích údajů. Čísla, která přitom zveřejnila společnost Microsoft naznačují, že uživatelé, kteří povolili vícefázovou, nebo také dvoufaktorovou autentizaci, nakonec zablokovali asi 99,9 % automatizovaných útoků. „To je skvělé číslo, ale jako u každého dobrého řešení kybernetické bezpečnosti útočníci mohou přijít na způsoby, jak ho obejít. A jak dokládá nedávný případ kryptoměnové burzy Coinbase, to se také stalo,“ prozrazuje Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT odborník společnosti Soitron.

Obrázek: Hackeři vědí, jak obejít dvoufázové ověření. Útok je jednoduchý, jak se bránit?

Dobré heslo nestačí. Vícefaktorové zabezpečení je dnes nutností. I to ale není dokonalé. Zdroj: Pixabay

Jak lze zabezpečení obejít?

Dvoufaktorovou autentifikaci lze obejít na základě jejího principu fungování. Tedy prostřednictvím vypátrání, lépe řečeno odcizení např. jednorázových kódů zaslaných v SMS na mobilní telefon uživatele. Tato metoda spočívá v tom, že hackeři nejprve na základě vyzrazeného seznamu e-mailů zašlou uživatelům e-mailové sdělení, které se tváří např. jako zpráva od banky. Pokud v něm uživatel klikne na odkaz, dojde k otevření webové stránky, která vypadá legitimně – jako kdyby byla banky. Uživatelé, kteří si dávají pozor a mají jisté IT znalosti, odhalí, že něco může být špatně. Většinou se podvržená stránka ukrývá na internetové adrese, která nepatří bance a obsahuje například překlep. 

Až sem nejde o žádnou nově používanou techniku. Nové je to, co následuje potom. Jako URL adresa se použije něco ve tvaru www.mojebanka.cz.resethesla.cz. Na první pohled jde o doménu banky, takže vše vypadá v pořádku, ale zkušený uživatel ví, že doména druhého řádu není www.mojebanka.cz, ale resethesla.cz. A v tom je velký rozdíl, protože tato doména patří útočníkům. Ještě více alarmující je, že pokud na tento web přejde uživatel z mobilního telefonu, tak se mu v případě, že adresa banky je delší, nemusí zobrazit celá. Tudíž vidí jen to, na co je zvyklý. V tomto případě nejde o žádnou technickou chybu, ale o využití zranitelnosti UX – tedy toho, že víme, že browser v mobilu zobrazí jen určitý počet znaků URL adresy a ten zbytek je skrytý. Podvodná stránka může v případě tohoto „triku“ také použít SSL zabezpečení (URL začíná https://), aby díky v browseru zobrazenému zámku evokovala v uživatelích pocit bezpečnosti. Málokdo, si totiž otevírá a ověřuje detaily certifikátu, kterým je SSL šifrované.

Jste na správné stránce? Pozornost se vyplatí. Pozor na přihlašování k účtům skrze odkazy z vyhledávače: Podvodníci kradou peníze i identitu. Chcete skvělý telefon za 25 Kč? Pozor na falešné stránky Samsungu, nic nedostanete.

Obrázek: Hackeři vědí, jak obejít dvoufázové ověření. Útok je jednoduchý, jak se bránit?

Málokterý uživatel je doopravdy obezřetný a sleduje vše co by měl. Jedním ze zásadních ukazatelů je adresní řádka prohlížeče. Foto: Freepik

Vše začíná phishingem

Pokud na podvrženou adresu uživatel skočí, pak hackeři využijí phishingový útok. K tomu stačí, aby jejich web 1:1 vypadal jako ten patřící bance. Na přihlašovací stránce uživatel zadá jméno a heslo. Tím hacker získá první klíč pro vstup. Okamžitě, tedy v reálném čase po obdržení, tyto údaje ručně zadá do opravdového webového rozhraní banky. Ta jeho majiteli na jeho mobilní telefon pošle autentifikační SMS kód, a pokud ho uživatel zadá opět do podvržené stránky, má hacker, co potřebuje.

Během chvilky se ocitne v internetovém bankovnictví uživatele, na nic nečeká a zadá příkaz k platbě. Ten je zapotřebí opět potvrdit. Proto opět uživateli na mobil přijde SMS kód, ale protože stále na podvržené stránce čeká na vstup do banky, tak se mu v tomto mezidobí zobrazí například hlášení, že ho přihlašují, ať chvilku počká. Následně se zobrazí informace o tom, že první přihlášení se nepovedlo a ať zadá druhý SMS kód, který mu byl právě odeslán. „A to je ten kód, který slouží k potvrzení provedení skutečné platby. Jestliže si tohoto upozornění v SMS uživatel nevšimne, a zadá ho do phishingové stránky, hacker ho přepíše do internetového bankovnictví a peníze se mu povede z účtu odčerpat,“ prozrazuje Martin Lohnert.

Obrázek: Hackeři vědí, jak obejít dvoufázové ověření. Útok je jednoduchý, jak se bránit?

Phishing může mít řadu podob. Jednou se útočníci snaží o krádež platebních karet, jindy zase cílí na získání citlivých údajů a přístup k účtu. Foto: Pixabay

Uniklo vaše heslo na veřejnost? Online nástroj zjistí, zda jste obětí úniku dat. Pozor na přihlašování k účtům skrze odkazy z vyhledávače: Podvodníci kradou peníze i identitu

Přepisování kódů nahrazují specializované aplikace

Jak je vidět, i s minimálním úsilím lze prorazit dvoufázové autentifikační zabezpečení. „Proto je mnohem bezpečnější používat novější typy dvoufázového ověřování, a to prostřednictvím specializovaných aplikací. V nich je právě eliminováno riziko přepisování kódů a vše se děje v rámci rozhraní banky automaticky,“ uvádí Martin Lohnert. Starší podoby, tedy právě ruční přepisování jsou přitom dále využívány nejen různými službami – mimo jiné v aplikaci Google Authenticator, Microsoft Authenticator a právě některými bankami.

Ačkoliv musí být splněno několik podmínek a na sebe navazujících kroků, aby výše uvedené útoky fungovaly, prokazují zranitelnost ve dvoufázových identifikačních metodách založených na SMS a také to, že tyto útoky nevyžadují vysoké technické schopnosti.

1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
A Richterová

Dobrý den, jak mohu takového hackera najít? Mám problém s fb účtem, kdy mi útočník změnil dvojfázové ověření na autentizační aplikaci, kterou jsem dřív nikdy neměla. Účet je pro mě velice důležitý, zkoušela jsem snad všechno. Děkuji moc.

Obrázek: Recenze: Česká čistička vzduchu GARNI 45T OneCare obstála na výbornou
93%
Recenze: Česká čistička vzduchu GARNI 45T OneCare obstála na výbornou
Obrázek: Obří vesmírná loď Starship má za sebou další klíčový test před letem do vesmíru
Obří vesmírná loď Starship má za sebou další klíčový test před letem do vesmíru
Obrázek: Kde získat vzácné prvky na výrobu elektroniky? Z bláta
Kde získat vzácné prvky na výrobu elektroniky? Z bláta
Obrázek: 5G byl jen začátek. 6G přinese masovou robotizaci a vozidla bez řidičů všude kolem nás
5G byl jen začátek. 6G přinese masovou robotizaci a vozidla bez řidičů všude kolem nás
Obrázek: Recenze: Česká čistička vzduchu GARNI 45T OneCare obstála na výbornou
93%
Recenze: Česká čistička vzduchu GARNI 45T OneCare obstála na výbornou
Znečištěný vzduch
Čistíte si doma vzduch? Co znamená PM 2.5 a jaký mohou mít nečistoty vliv na vaše zdraví?
Obrázek: Blíží se kometa, kterou můžete vidět pouze jednou za 50 000 let. Jak ji sledovat?
Blíží se kometa, kterou můžete vidět pouze jednou za 50 000 let. Jak ji sledovat?
Obrázek: Konec složitostem. Novinka ve WhatsAppu ušetří hodiny se zálohováním
Konec složitostem. Novinka ve WhatsAppu ušetří hodiny se zálohováním