Хакеры научились обходить двухфакторную аутентификацию

Ни одна технология не заменит человеческий фактор. Так что будь всегда начеку, никому не верь, живи один в лесу.

Хакеры научились обходить двухфакторную аутентификацию

Если ты используешь пароль welcome для всех своих сервисов, то дальше лучше не читай. Большая часть статьи покажется глупой озабоченностью своей кибербезопасностью.

А все остальные — те, кто боятся лишиться электронной почты, документов и фотографий, — должны быть знакомы с принципом 2FA (двухфакторной аутентификации).

Работает он следующим образом: после ввода твоего логина и пароля у тебя запрашивают еще один код. Как правило, это 6-значное число, которое генерируется на другом устройстве — смартфоне или небольшом ключе-токене. Такие пароли меняются раз в 30 секунд, и отследить их практически невозможно. Участие дополнительного устройства в процессе аутентификации и называют вторым фактором.

До последнего времени защита аккаунтов с 2FA считалась практически непробиваемой. Но международная организация Amnesty International опубликовала отчет, в котором говорится, что хакеры все-таки нашли управу на 2FA.

Множество таких атак произошло на журналистов и активистов на Ближнем Востоке и в Северной Африке. Все оказалось достаточно просто: в бой пошли старые добрые MIM-технологии (man in the middle). Жертвам подсовывали липовые странички аутентификации в Google-почту, в том числе такие же для ввода 2FA-пароля.

Действовала схема так: на электронные адреса присылалось уведомление якобы от самого Google о том, что аккаунт пользователя скомпрометирован и ему срочно нужно сменить пароль. К письму прилагалась ссылка, которая и вела на фишинговый сайт хакеров.

Причем фейковая страница транслировала данные пользователя на настоящие формы логина и пароля, и система честно высылала 2FA-пароль, который пользователь вводил на липовой странице.

Специалисты Amnesty International все еще рекомендуют использовать 2FA-аутентификацию. Описанный метод довольно затратный, и он вряд ли будет использован для того, чтобы украсть твой уникальный репортаж с шашлыков.

Но если хакерам удастся умело автоматизировать процесс, то даже опытным пользователям придется нелегко.

Почувствовать себя в полной кибербезопасности можно, только окончательно на все плюнув и установив универсальный пароль welcome.

Комментарии

0