O nás     Inzerce     KontaktVěrohodné informace z byznysu již od roku 2013
Hledat
Nepřehlédněte: Slovník ekonomických pojmů
Plánovací kalendář 2025
Zkušenosti podnikatelů v ČR
To nejlepší z IT: Pozoruhodné IT produkty pro rok 2025
Hlavní rubriky: Ekonomika, Podnikání, Investice, Reality, Lidé, Peníze, Technologie, Zkušenosti, Speciály

Slovník ekonomických pojmů
Praktické informace pro firmy

Nečekané riziko: Ani dvoufázové ověření není bezpečné

Je dobře známo, že pro bezpečný přístup k on-line službám už dlouhou dobu nestačí používat jen uživatelská jména a hesla. Proto se používá další level zabezpečení – vícefázové ověřování – které se stalo v mnoha případech nutností. K přihlašování pomocí hesla přidává ještě další nezávislou metodu. Jak se však ukázalo, ani toto nemusí být dostačující. Problém není v samotné technologii, ale největší slabinou, jak se ukazuje, je i tady sám uživatel.

Studie ukazují, že k více než 80 % všech bezpečnostních narušení dochází v souvislosti s hackingem. Především z důvodu kompromitovaných a slabých přihlašovacích údajů. Čísla, která přitom zveřejnila společnost Microsoft naznačují, že uživatelé, kteří povolili vícefázovou, nebo také dvoufaktorovou autentizaci, nakonec zablokovali asi 99,9 % automatizovaných útoků. „To je skvělé číslo, ale jako u každého dobrého řešení kybernetické bezpečnosti útočníci mohou přijít na způsoby, jak ho obejít. A jak dokládá nedávný případ kryptoměnové burzy Coinbase, to se také stalo,“ prozrazuje Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT odborník společnosti Soitron.

Jak lze zabezpečení obejít?

Dvoufaktorovou autentizaci lze obejít na základě jejího principu fungování. Tedy prostřednictvím vypátrání, lépe řečeno odcizení např. jednorázových kódů zaslaných v SMS na mobilní telefon uživatele. Tato metoda spočívá v tom, že hackeři nejprve na základě vyzrazeného seznamu e-mailů zašlou uživatelům e-mailové sdělení, které se tváří např. jako zpráva od banky. Pokud v něm uživatel klikne na odkaz, dojde k otevření webové stránky, která vypadá legitimně – jako kdyby byla banky. Uživatelé, kteří si dávají pozor a mají jisté IT znalosti, odhalí, že něco může být špatně. Většinou se podvržená stránka ukrývá na internetové adrese, která nepatří bance a obsahuje například překlep.

Až sem nejde o žádnou nově používanou techniku. Nové je to, co následuje potom. Jako URL adresa se použije něco ve tvaru www.mojebanka.cz.resethesla.cz. Na první pohled jde o doménu banky, takže vše vypadá v pořádku, ale zkušený uživatel ví, že doména druhého řádu není www.mojebanka.cz, ale resethesla.cz. A v tom je velký rozdíl, protože tato doména patří útočníkům. Ještě více alarmující je, že pokud na tento web přejde uživatel z mobilního telefonu, tak se mu v případě, že adresa banky je delší, nemusí zobrazit celá. Tudíž vidí jen to, na co je zvyklý. V tomto případě nejde o žádnou technickou chybu, ale o využití zranitelnosti UX – tedy toho, že víme, že browser v mobilu zobrazí jen určitý počet znaků URL adresy a ten zbytek je skrytý. Podvodná stránka může v případě tohoto „triku“ také použít SSL zabezpečení (URL začíná https://), aby díky v browseru zobrazenému zámku evokovala v uživatelích pocit bezpečnosti. Málokdo, si totiž otevírá a ověřuje detaily certifikátu, kterým je SSL šifrované.

Vše začíná phishingem

Pokud na podvrženou adresu uživatel skočí, pak hackeři využijí phishingový útok. K tomu stačí, aby jejich web 1:1 vypadal jako ten patřící bance. Na přihlašovací stránce uživatel zadá jméno a heslo. Tím hacker získá první klíč pro vstup. Okamžitě, tedy v reálném čase po obdržení, tyto údaje ručně zadá do opravdového webového rozhraní banky. Ta jeho majiteli na jeho mobilní telefon pošle autentifikační SMS kód, a pokud ho uživatel zadá opět do podvržené stránky, má hacker, co potřebuje.

Během chvilky se ocitne v internetovém bankovnictví uživatele, na nic nečeká a zadá příkaz k platbě. Ten je zapotřebí opět potvrdit. Proto opět uživateli na mobil přijde SMS kód, ale protože stále na podvržené stránce čeká na vstup do banky, tak se mu v tomto mezidobí zobrazí například hlášení, že ho přihlašují, ať chvilku počká. Následně se zobrazí informace o tom, že první přihlášení se nepovedlo a ať zadá druhý SMS kód, který mu byl právě odeslán. „A to je ten kód, který slouží k potvrzení provedení skutečné platby. Jestliže si tohoto upozornění v SMS uživatel nevšimne, a zadá ho do phishingové stránky, hacker ho přepíše do internetového bankovnictví a peníze se mu povede z účtu odčerpat,“ prozrazuje Martin Lohnert.

Přepisování kódů pod palbou

Jak je vidět, i s minimálními úsilími lze prorazit dvoufázové autentizační zabezpečení. „Proto je mnohem bezpečnější používat novější typy dvoufázového ověřování, a to prostřednictvím specializovaných aplikací. V nich je právě eliminováno riziko přepisování kódů a vše se děje v rámci rozhraní banky automaticky,“ uvádí Martin Lohnert. Starší podoby, tedy právě ruční přepisování jsou přitom dále využívány nejen různými službami – mimo jiné v aplikaci Google Authenticator, Microsoft Authenticator a právě některými bankami.

Ačkoliv musí být splněno několik podmínek a na sebe navazujících kroků, aby výše uvedené útoky fungovaly, prokazují zranitelnost ve dvoufázových identifikačních metodách založených na SMS a také to, že tyto útoky nevyžadují vysoké technické schopnosti.


(5. 1. 2022 | redakce2)

Facebook Twitter
Komentáře, názory a rady

Zatím sem nikdo nevložil žádný komentář. Buďte první...

>>> Číst a vkládat komentáře <<<
©2013-2024 OnBusiness.cz, ISSN 2336-1999 | Názvy použité v textech mohou být ochrannými známkami příslušných vlastníků.
Provozovatel: Bispiral, s.r.o., kontakt: BusinessIT(at)Bispiral.com | Inzerce: Best Online Media, s.r.o., zuzana@online-media.cz
O vydavateli | Pravidla webu OnBusiness.cz a ochrana soukromí | pg(6273)