БизнесЦензор

05.02.20 13:24

Зламали аккаунт з двохфакторною автентифікацією. Як це сталося?

"Моя пошта була захищена двохфакторною автентифікацією, але її все одно зламали. А потім отримали доступ до грошей на банківському рахунку". Чули такі історії? Ні, це не "urban legends". Розберемося як таке могло відбутися.

Нагадаємо що таке двохфакторна автентифікація (2FA). Перший фактор – "я знаю". Ваш сильний пароль, що знаєте тільки ви. Другий фактор – "я маю". Це може бути:

Якщо 2FA підключена, то доступ можливий лише при використанні обох факторів. Виглядає надійно. Теоретично.

Але ступінь вашого захисту визначає найслабкіша ланка всієї системи.

У попередній колонці детально розглянули ризики які приховує смс-верифікація. Цього разу, звертаємо увагу на інструменти відновлення паролю за допомогою іншого акаунту та фішинг.

Відновлення за допомогою іншого аккаунту

До аккаунту, захищеному за допомогою 2FA, ви дозволили вхід за допомогою аккаунту соціальної мережі чи налаштували резервний email для відновлення.

Але для цих акаунтів двохфакторна автентифікація налаштована не була

У разі якщо ваш email для відновлення чи аккаунт соц. мережі буде скомпрометовано, то з їх допомогою зловмисник може обійти багатофакторну автентифікацію вашого основного аккаунту і взяти його під контроль.

Діє той самий принцип самої слабкої ланки: менш захищені аккаунти, пов'язані з основним аккаунтом, роблять основний аккаунт менш захищеним.

Фішинг

Фішинг – це коли зловмисник імітує сайт (банку, поштової системи, вашого особистого кабінету якоїсь системи) з метою отримати ваші логін та пароль. Щоб потім використати їх вже на справжньому сайті.

Посилання на фішинговий сайт як правило дуже схоже на url-справжнього сайту і зазвичай "неозброєним" оком помітити різницю у посиланні досить складно.

З досить гучних інструментів фішингу останнього часу – програма Modlishka. Яка виступає як реверс-проксі між "жертвою" та реальним сайтом. Тобто користувачу не імітується, а надаються реальні данні справжнього сайту.

І під час цього програма крім логінів та паролів також перехвачує "другий фактор" та встановлює власну сесію до цього сайту.

Які саме способи двохфакторної автентифікації будуть вразливі? Майже всі, крім апаратного токена u2f. Тому раджу використовувати саме такі токени.

Гігієна проти фішингу. Скоріш за все це фішинг, якщо:

Отже, ступінь вашого захисту визначає найбільш слабка ланка всієї системи. Якщо з вашим захищеним аккаунтом пов'язані якісь інші аккаунти чи поштові скриньки?

Також захистить їх за допомогою 2FA чи відключить їх від вашого захищеного аккаунту. І звичайно ж дотримуйтесь фішингової гігієни.

Двохфакторна автентифікація все ще найкращий спосіб захисту. Вмикайте її всюди де можливо, враховуючи "тонкі" місця. І нехай ваші данні залишаються лише з вами.

Смотреть комментарии → ← Назад в рубрику