В эпоху цифровых технологий защита данных актуальна для каждого пользователя интернета, ведь сегодня люди доверяют сети слишком много важных сведений: паспортные данные, электронные и физические адреса, номера платежных карт и социального страхования. Для защиты конфиденциальной информации в сетевом пространстве существуют различные способы аутентификации пользователей. И одним из самых надежных признана двухфакторная аутентификация (two-factor authentication). Абсолютно все специалисты по ИБ, и Protectimus в том числе, настоятельно рекомендуют подключать 2FA в тех аккаунтах, где это возможно.
Но хакеры изобретают все новые уловки, чтобы обойти имеющиеся средства защиты данных. Недавно в сети появились сообщения об еще одном приеме, с помощью которого может быть скомпрометирована двойная аутентификация. На сей раз их жертвой стала SMS-аутентификация — наиболее распространенный сегодня вариант 2FA.
Новизна этого способа в том, что для его применения не нужно внедрять на компьютер или смартфон жертвы троянский вирус, умеющий перехватывать одноразовые пароли (one time passwords), как это делалось раньше. Чтобы узнать временный пароль для 2FA, оказалось достаточно некоторой доли хитрости и использования социальной инженерии.
Вспомним, как работает двухэтапная аутентификация на большинстве ресурсов. Часто для повышения удобства пользования к сервису подключается функция интеллектуальной идентификации. Так, одноразовый пароль запрашивается только тогда, когда запрос на авторизацию поступает не с того устройства или браузера, которым обычно пользуется владелец аккаунта.
Тут-то и отыскали возможную лазейку хакеры. Вначале потенциальная жертва получает фишинговое сообщение от имени того или иного сервиса (в данном случае речь идет о Google, но то же самое вполне можно осуществить на любом другом сайте, поддерживающем 2FA) о попытке несанкционированного доступа к ее/его аккаунту. В SMS также сообщается, что в ближайшее время пользователю будет выслан временный пароль, который он должен отправить в ответном сообщении, если хочет, чтобы его аккаунт был временно заблокирован.
Be warned, there's a nasty Google 2 factor auth attack going around. pic.twitter.com/c9b9Fxc0ZC
— Alex MacCaw (@maccaw) 4 июня 2016 г.
Параллельно мошенники пытаются войти в аккаунт жертвы (естественно, с другого компьютера), и система присылает настоящему хозяину учетной записи временный пароль для подтверждения. После чего наивный пользователь передает его прямо в алчные руки взломщиков — по указанному ими фишинговому адресу.
Можно ли избежать подобной угрозы? Вполне, и помочь в этом способна все та же 2FA. Достигнуть более высокого уровня безопасности данных можно, если использовать для генерации временных паролей аппаратные токены. О преимуществах аппаратных OTP-токенов мы уже писали ранее, прочитать о том, какой ОТР-токен для 2FA лучше — аппаратный, программный или SMS, вы можете в этой статье — “Аппаратный или программный токен — какой выбрать”.
Такие OTP-токены не подключаются к какой-либо сети (интернет, GSM и т.д.), потому временные пароли, сгенерированные аппаратным токеном, невозможно перехватить. К тому же, пользователю, который отдал предпочтение аппаратному токену, не нужно переживать о социальной инженерии подобного рода. Ведь злоумышленнику попросту будет неизвестен его номер телефона. И отправить туда SMS не получится. Как видим, 2FA есть чем ответить на происки мошенников.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
Подпишитесь на нашу рассылку!
Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.
Спасибо за подписку на нашу рассылку!