Některé typy onlinových služeb, typicky třeba nástroje pro internetové platby, využívají ke zvýšení bezpečnosti takzvané vícefázové ověřování. Přihlašování pomocí jména a hesla tak doplňuje ještě minimálně jedna další, nezávislá metoda. Ani to však nemusí být dostačující, pokud selže sám uživatel.
Studie ukazují, že k více než 80 % všech bezpečnostních narušení dochází v souvislosti s hackingem. Především z důvodu kompromitovaných a slabých přihlašovacích údajů. Čísla, která přitom zveřejnila společnost Microsoft, naznačují, že uživatelé, kteří povolili vícefázovou, nebo alespoň dvoufaktorovou autentizaci, nakonec zablokovali asi 99,9 % automatizovaných útoků.
„To je skvělé číslo, ale jako u každého dobrého řešení kybernetické bezpečnosti útočníci mohou přijít na způsoby, jak ho obejít. A jak dokládá nedávný případ kryptoměnové burzy Coinbase, to se také stalo,“ prozrazuje Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT odborník společnosti Soitron.
ZABEZPEČENÍ LZE OBEJÍT
Dvoufaktorovou autentifikaci lze obejít na základě jejího principu fungování. Tedy prostřednictvím vypátrání, lépe řečeno odcizení např. jednorázových kódů zaslaných v SMS na mobilní telefon uživatele. Tato metoda spočívá v tom, že hackeři nejprve na základě vyzrazeného seznamu e-mailů zašlou uživatelům e-mailové sdělení, které se tváří např. jako zpráva od banky. Pokud v něm uživatel klikne na odkaz, dojde k otevření webové stránky na první pohled vypadající zcela legitimně, tedy jako kdyby ji vytvořila skutečná banka. Uživatelé, kteří si dávají pozor a mají jisté IT znalosti, odhalí, že něco může být špatně. Většinou se podvržená stránka ukrývá na internetové adrese, která nepatří bance. V některých případech se liší třeba jen v lehce přehlédnutelném „překlepu“.
Až sem nejde o žádnou nově používanou techniku. Nové je to, co následuje potom. Jako URL adresa se použije něco ve tvaru www.mojebanka.cz.resethesla. cz. Na první pohled jde o doménu banky, takže vše vypadá v pořádku, ale zkušený uživatel ví, že doména druhého řádu není www.mojebanka.cz, ale resethesla.cz. A v tom je velký rozdíl, protože tato doména patří útočníkům. Ještě více alarmující je, že pokud na tento web přejde uživatel z mobilního telefonu, tak se mu v případě, že adresa banky je delší, nemusí zobrazit celá. Tudíž vidí jen to, na co je zvyklý. V tomto případě nejde o žádnou technickou chybu, ale o využití zranitelnosti UX — tedy toho, že víme, že browser v mobilu zobrazí jen určitý počet znaků URL adresy a ten zbytek je skrytý. Podvodná stránka může v případě tohoto „triku“ dokonce použít i bezpečnostní certifikát SSL (URL začíná https://), aby díky v browseru zobrazenému zámku evokovala v uživatelích pocit bezpečnosti. Málokdo si totiž otevírá a ověřuje detaily certifikátu, kterým je SSL šifrované.
VŠE ZAČÍNÁ PHISHINGEM
Pokud na podvrženou adresu uživatel skočí, pak hackeři využijí phishingový útok. K tomu stačí, aby jejich web vypadal přesně jako ten, na nějž jsme u své banky zvyklí. Na přihlašovací stránce uživatel zadá jméno a heslo, čímž hackerovi poskytne první klíč pro vstup. Ten je obratem po obdržení zadá do skutečného webového rozhraní banky, odkud majiteli na jeho mobilní telefon přijde autentifikační SMS kód. Pokud i ten uživatel zadá do podvržené stránky, má už hacker vše, co potřebuje pro přístup k bankovnímu účtu.
(Celý článek naleznete v aktuálním vydání Technického týdeníku.)