Hackeři se naučili obcházet dvoufaktorové ověřování. Přihlašovací údaje ukradnou snáze než kdykoliv dříve

Lukáš Altman
Lukáš Altman
Profil autora
686 článků

Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.

Dvoufaktorové ověřování má být poslední obranou proti hackerům. Jenže reálně se ukazuje, že ani to už nestačí. Kyberzločinci totiž přišli s novými metodami, jak ho obejít.

Disney účet

Dvoufaktorové ověřování je základ bezpečnosti on-line účtů. Nicméně redakce Mobify poslední dobu zaznamenává rostoucí počet útoků, při kterých hackeři tuto ochranu obchází. Dokážou totiž uživatele přimět, aby jim ověřovací kód odevzdali sami od sebe. Ani si v tu chvíli neuvědomí, že právě přišli o celý účet.

Stále se jedná jen o kód, který lze obejít

Princip dvoufaktorového ověřování (2FA) je jednoduchý. Kromě hesla musíte zadat ještě jednorázový kód (OTP), který přijde SMS zprávou, e-mailem či v aplikaci. Problém je, že kód je pořád jen informace, která se dá ukrást. A hackeři dnes vytváří falešné přihlašovací stránky, které vypadají jako originály. Oblíbený je k tomuto tzv. Spiderman, který dovede tvořit dokonalé repliky, uvádí theHackerNews.

Jakmile na takové podvrhnuté stránky zadá uživatel své údaje, stránka ho vyzve i k zadání ověřovacího kódu. Ten je v reálném čase odeslán útočníkovi, který ho okamžitě použije k přihlášení do skutečného účtu. A aby pak byly skryty stopy, po provedení tohoto úkonu ho web přesměruje zpátky na legitimní stránku, popsal Zscaler.

Zvlášť zranitelné jsou účty, které používají jako druhý faktor SMS. Jakmile útočník získá heslo, stačí mu přimět oběť opsat kód. Bezpečnější jsou tzv. hardwarové klíče nebo přístupové klíče (passkeys), které nelze jen tak opsat nebo přeposlat. Přesto je většina lidí stále nepoužívá. Většinou proto, že o nich vůbec neví. Často jsou napadány účty Disney, Netflixu, DHL, UPS apod.

Phishing je dnes výdělečný profi byznys

Moderní phishing už není plný chyb a podivných adres, naopak. Útočníci využívají automatizované nástroje, umělou inteligenci a techniky, které skrývají škodlivý obsah před bezpečnostními kontrolami. Některé systémy dokonce umí rozpoznat, zda stránku navštívil reálný člověk, či bezpečnostní nástroj. Chovají se pak dle toho jinak.

Tato „profesionalizace“ útoků je za nás největší problém. Phishing totiž už dávno není ledajaká amatérská činnost, ale regulérní byznys, kde se nástroje prodávají na černém trhu klidně za stovky eur (a příkladově třeba 300 eur je zhruba 7 500 Kč). Pro co největší bezpečnost je klíčové dodržovat několik zásad:

  • Nezadávat ověřovací kód na stránce, na kterou jste se dostali z e-mailu nebo SMS.
  • Kontrolovat adresu webu (i drobná odchylka může znamenat podvod).
  • Používat aplikace pro ověřování nebo passkeys místo SMS.
  • Mít zapnutá upozornění na přihlášení z nového zařízení.

Abychom vás neuvedli v omyl, dvoufaktorové ověřování má stále smysl. Už ale není všelékem, jak si mnoho lidí myslí. Hackeři se přizpůsobují rychleji než uživatelé a spoléhají na lidské chyby. Pokud si z tohoto varování odnesete jedinou věc, pak tu, že opatrnost a kritické myšlení jsou stejně důležité jako samotná technologie.

Zdroje

Autorský komentář Lukáše Altmana, Oficiální stránky Zscaler, Oficiální stránky theHackerNews

Líbí se vám tento článek? Tak pojďte diskutovat.

Diskuze 0

Copyright © 2016-2024 abcMedia Network, s.r.o.
Obsah je chráněn autorským právem. Jakékoli užití včetně publikování nebo jiného šíření obsahu je bez písemného souhlasu zakázáno.