Колонки Олександр Атаманенко
  5066  1

Зламали аккаунт з двохфакторною автентифікацією. Як це сталося?

"Моя пошта була захищена двохфакторною автентифікацією, але її все одно зламали. А потім отримали доступ до грошей на банківському рахунку". Чули такі історії? Ні, це не "urban legends". Розберемося як таке могло відбутися.

Нагадаємо що таке двохфакторна автентифікація (2FA). Перший фактор – "я знаю". Ваш сильний пароль, що знаєте тільки ви. Другий фактор – "я маю". Це може бути:

  • електронний ключ (u2f token, смарт-карта);
  • push-повідомлення на вашому мобільному пристрої;
  • 6-ти чи 8-ми значний унікальний цифровий код, що генерується раз на 30 секунд спеціальною програмою (Google Authenticator, Microsoft Authenticator, інші);
  • одноразові цифрові коди, генеровані сервісом (зазвичай роздруковуються на папір та зберігаються в надійному місці недосяжному для зловмисників)

Якщо 2FA підключена, то доступ можливий лише при використанні обох факторів. Виглядає надійно. Теоретично.

Але ступінь вашого захисту визначає найслабкіша ланка всієї системи.

У попередній колонці детально розглянули ризики які приховує смс-верифікація. Цього разу, звертаємо увагу на інструменти відновлення паролю за допомогою іншого акаунту та фішинг.

Відновлення за допомогою іншого аккаунту

До аккаунту, захищеному за допомогою 2FA, ви дозволили вхід за допомогою аккаунту соціальної мережі чи налаштували резервний email для відновлення.

Але для цих акаунтів двохфакторна автентифікація налаштована не була

У разі якщо ваш email для відновлення чи аккаунт соц. мережі буде скомпрометовано, то з їх допомогою зловмисник може обійти багатофакторну автентифікацію вашого основного аккаунту і взяти його під контроль.

Діє той самий принцип самої слабкої ланки: менш захищені аккаунти, пов'язані з основним аккаунтом, роблять основний аккаунт менш захищеним.

Фішинг

Фішинг – це коли зловмисник імітує сайт (банку, поштової системи, вашого особистого кабінету якоїсь системи) з метою отримати ваші логін та пароль. Щоб потім використати їх вже на справжньому сайті.

Посилання на фішинговий сайт як правило дуже схоже на url-справжнього сайту і зазвичай "неозброєним" оком помітити різницю у посиланні досить складно.

З досить гучних інструментів фішингу останнього часу – програма Modlishka. Яка виступає як реверс-проксі між "жертвою" та реальним сайтом. Тобто користувачу не імітується, а надаються реальні данні справжнього сайту.

І під час цього програма крім логінів та паролів також перехвачує "другий фактор" та встановлює власну сесію до цього сайту.

Які саме способи двохфакторної автентифікації будуть вразливі? Майже всі, крім апаратного токена u2f. Тому раджу використовувати саме такі токени.

Гігієна проти фішингу. Скоріш за все це фішинг, якщо:

  • "Занадто добре, щоб бути правдою" – отримали дуже вигідні пропозиції, що миттєво привертають увагу. Наприклад, "Ви виграли iPhone"
  • "Почуття терміновості" – улюблена тактика кіберзлочинців попросити діяти швидко. "Ваш аккаунт буде заблокований протягом години, якщо не буде зроблено підтвердження"
  • Вам показують гіперпосилання, яке виглядає як відомий сайт. Але при переході буде дещо відрізнятися (і взагалі, на важливі сайти варто переходити лише зі свого менеджеру паролів чи з іншого власного списку закладок)
  • Додаток. Якщо ви побачили вкладення в електронному листі, якого ви не очікували або це не має сенсу – не відкривайте його
  • Незвичний відправник. Чи схожий на вашого знайомого, але щось здається незвичним чи несподіваним

Отже, ступінь вашого захисту визначає найбільш слабка ланка всієї системи. Якщо з вашим захищеним аккаунтом пов'язані якісь інші аккаунти чи поштові скриньки?

Також захистить їх за допомогою 2FA чи відключить їх від вашого захищеного аккаунту. І звичайно ж дотримуйтесь фішингової гігієни.

Двохфакторна автентифікація все ще найкращий спосіб захисту. Вмикайте її всюди де можливо, враховуючи "тонкі" місця. І нехай ваші данні залишаються лише з вами.

Комментировать
Сортировать:
в виде дерева
по дате
по имени пользователя
по рейтингу
 
 
 
 
 
 вверх