Je známe, že pre bezpečný prístup k on-line službám už dlhú dobu nestačí používať len užívateľské mená a heslá. Preto sa používa ďalší stupeň zabezpečenia – viacfázové overovanie – ktoré sa stalo v mnohých prípadoch nevyhnutnosťou. K prihlasovaniu pomocou hesla pridáva ešte ďalšiu nezávislú metódu. Ako sa však ukázalo, ani toto nemusí byť dostatočné. Problém nie je v samotnej technológií, ale najväčšou slabinou, ako naznačuje prax, je sám užívateľ.
Štúdie ukazujú, že k viac než 80 % všetkých bezpečnostných narušení dochádza v súvislosti s hackingom. Predovšetkým z dôvodu kompromitovaných a slabých prihlasovacích údajov. Čísla, ktoré zverejnila spoločnosť Microsoft, naznačujú, že užívatelia, ktorí povolili viacfázovú alebo tiež dvojfaktorovú autentizáciu, nakoniec zablokovali asi 99,9 % automatizovaných útokov
„To je skvelé číslo, ale ako pri každom dobrom riešení kybernetickej bezpečnosti, útočníci môžu prísť na spôsoby, ako ho obísť. Dôkazom, že sa tak aj stalo, je nedávny prípad kryptomenovej burzy Coinbase,“ prezradzuje Martin Lohnert, riaditeľ centra kybernetickej bezpečnosti Void SOC a IT odborník spoločnosti Soitron.
Dvojfaktorovú autentifikáciu je možné obísť na základe jej princípu fungovania. Teda prostredníctvom vypátrania, lepšie povedané odcudzenia napríklad jednorazových kódov zaslaných v SMS na mobilný telefón užívateľa. Táto metóda spočíva v tom, že hackeri najskôr na základe prezradeného zoznamu e-mailov zašlú užívateľom e-mailové oznámenie, ktoré sa tvári napríklad ako správa z banky. Pokiaľ v ňom užívateľ klikne na odkaz, dôjde k otvoreniu webovej stránky, ktorá vyzerá legitímne – ako keby patrila banke. Užívatelia, ktorí si dávajú pozor a majú nejaké IT znalosti, odhalia, že niečo môže byť zle. Väčšinou sa podvrhnutá stránka ukrýva na internetovej adrese, ktorá nepatrí banke a obsahuje napríklad preklep.
Ani tu nejde o žiadnu novú techniku. Nové je to, čo nasleduje potom. Ako URL adresa sa použije niečo v tvare www.mojabanka.cz.resethesla.cz. Na prvý pohľad ide o doménu banky, takže všetko vyzerá v poriadku, ale skúsený užívateľ vie, že doména druhého rádu nie je www.mojabanka.cz, ale resethesla.cz. A v tom je veľký rozdiel, pretože táto doména patrí útočníkom. Ešte viac alarmujúce je, že pokiaľ na tento web prejde užívateľ z mobilného telefónu, tak sa mu v prípade, že adresa banky je dlhšia, nemusí zobraziť celá. Teda vidí len to, na čo je zvyknutý. V tomto prípade nejde o žiadnu technickú chybu, ale o využitie zraniteľnosti UX – teda toho, že vieme, že prehliadač v mobile zobrazí len určitý počet znakov URL adresy a ten zbytok je skrytý. Podvodná stránka môže v prípade tohoto „triku“ tiež použiť SSL zabezpečenie (URL začína https://), aby vďaka v prehliadači zobrazenému zámku evokovala v užívateľoch pocit bezpečia. Málokto, si totiž otvára a overuje detaily certifikátu, ktorým je SSL šifrované.
Pokiaľ na podvrhnutú adresu užívateľ skočí, potom hackeri využijú phishingový útok. K tomu stačí, aby ich web 1:1 vyzeral ako ten patriaci banke. Na prihlasovacej stránke užívateľ zadá meno a heslo. Tým hacker získa prvý kľúč pre vstup. Okamžite, teda v reálnom čase po obdržaní, tieto údaje ručne zadá do skutočného webového rozhrania banky. Tá jeho majiteľovi na jeho mobilný telefón pošle autentifikačný SMS kód, a pokiaľ ho užívateľ opäť zadá do podvrhnutej stránky, má hacker, čo potrebuje. Behom chvíľky sa ocitne v internetovom bankovníctve užívateľa, na nič nečaká a zadá príkaz k platbe. Ten je potrebné opäť potvrdiť. Preto opäť užívateľovi na mobil príde SMS kód, ale pretože stále čaká na podvrhnutej stránke na vstup do banky, tak sa mu medzičasom zobrazí napríklad hlásenie, že ho prihlasujú, nech chvíľku počká. Následne sa zobrazí informácia o tom, že prvé prihlásenie sa nepodarilo a nech zadá druhý SMS kód, ktorý mu bol práve poslaný.
„A to je ten kód, ktorý slúži k potvrdeniu prevedenia skutočnej platby. Ak si toto upozornenie v SMS užívateľ nevšimne, a zadá ho do phishingovej stránky, hacker ho prepíše do internetového bankovníctva a peniaze sa mu podarí z účtu odčerpať,“ prezradzuje Martin Lohnert.
Ako je vidno, aj s minimálnym úsilím je možné preraziť dvojfázové autentifikačné zabezpečenie.
„Preto je omnoho bezpečnejšie používať novšie typy dvojfázového overovania, a to prostredníctvom špecializovaných aplikácií. V nich je práve eliminované riziko prepisovania kódov a všetko sa deje v rámci rozhrania banky automaticky,“ uvádza Martin Lohnert.
Staršie podoby, teda práve ručné prepisovanie, sú dnes využívané nielen rôznymi službami – okrem iného v aplikáciách Google Authenticator, Microsoft Authenticator, ale aj niektorými bankami.
Hoci musí byť splnených niekoľko podmienok a na seba nadväzujúcich krokov, aby vyššie uvedené útoky fungovali, preukazujú zraniteľnosť v dvojfázových identifikačných metódach založených na SMS a tiež to, že tieto útoky nevyžadujú vysoké technické schopnosti.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
