Dvoufaktorové ověření přihlášení k účtům funguje jednoduše. Pokud se někde přihlašujete, zadáváte normální přihlašovací údaje: e-mail či přihlašovací jméno a k tomu klasické heslo. Abyste se ale dostali dál, musíte doplnit ještě kód dvoufaktorového ověření. Ten většinou dostanete z nějaké mobilní aplikace – ať už univerzální (třeba Google Authenticator), nebo přímo od mobilní aplikace oné služby (jako to dělá například Facebook). Druhá obvyklá možnost je, že kód pro přihlášení dostanete v SMS.
Bez zadání správného kódu se pak případný útočník nemůže přihlásit, a to ani v okamžiku, kdy se mu podařilo získat vaše heslo. Po zadání onoho ověřovacího kódu (dvoufaktorové nebo dvoufázové ověření se to jmenuje právě proto, že máte druhou úroveň ověření) si můžete navíc zvolit, jestli budoucí přihlašování z onoho konkrétního místa (většinou se tím rozumí prohlížeč) bude možné bez dvoufaktorového ověřování, nebo zda je nutné ho požadovat i příště.
Minulý týden Alex MacCaw na Twitteru ukazoval screenshot SMS, kterou dostal na mobil. Na první pohled vypadá jako klasické upozornění, že se někdo pokoušel přihlásit k vašemu účtu – což je funkce, kterou je také dobré si u online účtů aktivovat (tedy pokud to daná služba umožňuje).
Jak ale můžete vidět z obrázku, varování navíc obsahuje pokus o tzv. sociální inženýrství – vybízí uživatele, aby na tuto SMS odpověděl číslem, které dostane v další SMS. A tou další SMS samozřejmě bude skutečný kód dvoufázového ověření vyvolaného útočníkem, který se snaží přihlásit k vašemu účtu.
Celý postup je poměrně jednoduchý. Útočník se dozvěděl přihlašovací údaje (ID, heslo) a telefonní číslo své oběti. Na telefonní číslo pošle výše uvedenou SMS a vzápětí se pokusí přihlásit k účtu oběti. Tím vyvolá odeslaní SMS s číselným kódem. Pokud se oběť nechá napálit, pošle útočníkovi právě potřebný kód dvoufaktorového ověření. Výsledkem je, že se útočníkovi podaří dostat na účet.
Pokud se domníváte, že by případnou oběť mělo odradit neznámé číslo odesílatele oné phishingové zprávy, i tohle se dá řešit. Není těžké místo čísla podvrhnout text, tedy například „Google“, „Apple“ či cokoliv dalšího.
Na výše uvedeném phishingu je poměrně chytré to, že po oběti nechce heslo ani kód „pro přístup“, zkouší to přesně opačně. Vyvolá obavu a nabízí řešení, aby se zamezilo možnému problému: „Google“ vám umožní zablokovat přístup útočníka k účtu. Realita je sice opačná, ale na obyčejné uživatele tohle fungovat může.
ČLÁNKY DO MAILU