Zaloguj się do usług
bezpieczeństwa
9 listopada 2021
Jak oszukać 2FA, czyli natychmiast rozłącz rozmowę

Uwierzytelnianie dwuskładnikowe. Coś, do czego od dawien dawna namawiamy Was wszystkich, jako jednej z najlepszych metod zabezpieczenia konta. Okazuje się jednak, że nie ma idealnych pomysłów. A ludzka nieostrożność potrafi poradzić sobie z każdym zabezpieczenie.

Czym jest uwierzytelnianie dwuskładnikowe (2 Factor Authentication, 2FA)? Pisaliśmy o tym już kilkakrotnie, więc - w skrócie - krótki pseudolosowy kod, wpisywany po zalogowaniu loginem i hasłem. Może mieć formę SMSa (od tego jednak się odchodzi), bądź tokena - czy to fizycznego, czy w formie aplikacji na telefon. W dwóch ostatnich przypadkach kod jest zmieniany co 60 sekund. W ten sposób realizujemy zasadę "coś co wiesz" (hasło) + "coś co masz" (token). Więcej informacji znajdziecie np. tutaj.

Skoro to taki dobry pomysł, to w czym tkwi problem? W socjotechnice rzecz jasna i w regułach: autorytetu oraz lubienia i sympatii. No i przy okazji jeszcze w największym motywatorze do działania, czyli strachu. Wyobraźcie sobie sytuację, gdy dzwoni do Was telefon, a gdy odbieracie, słyszycie, że to infolinia PayPala, Amazona, czy innej firmy, korzystającej z 2FA. Rozmówca, używając bardzo poważnie brzmiących słów mówi o nieautoryzowanej transakcji, czy próbie włamania na konto. Wy nawet przez chwilę pomyśleliście, że to może być oszustwo, ale przecież nikt Was nie prosi o login, czy hasło! Mówi tylko:

"Dla zapewnienia bezpieczeństwa proszę o wpisanie sześciocyfrowego kodu z SMS/Twojej aplikacji mobilnej"

Swoją drogą to kolejny dowód na to, że SMSy (jako dodatkowa droga autoryzacji) powinny trafić na śmietnik historii. SMS od firmy X, z jakimś kodem? Jasne, że podam, przecież człowiek po to dzwoni! Ale kiedy korzystamy świadomie z aplikacji do 2FA, wiemy w jakiej sytuacji wpisujemy ten kod. Co więcej, kolejny krok niezbędny, by do niego się dostać, otwarcie aplikacji, może spowodować, że jednak przez chwilę o tym pomyślimy...

Bo akurat co do tego, czy tak się da, nie musimy się zastanawiać. Boty, dzwoniące do mniej lub bardziej losowych użytkowników to również w Polsce nie jest nic nowego. Choćby słynne już telefony proponujące rozwiązania fotowoltaiczne, czy "pół-boty" w postaci ludzi, klikających odpowiednie pozycje z podanego skryptu. Nie dziwi więc wynik badania, przeprowadzonego przez Motherboard, które wykazało, że przekonanie (znacznej części z) nas do podzielenia się kodem z 2FA nie jest wielkim problem. A skąd wezmą login i hasło? Hmmm, zajrzyjcie choćby na https://www.haveibeenpwned.com/ i sprawdźcie, czy nie ma tam Waszych? Jeśli nie korzystaliście z HIBP to możecie to zrobić bez ryzyka.

Potem wystarczy tylko pan/i, który/a odpowiednio poważnym (za każdym razem takim samym) głosem powie nam jak straszne zło się stało, wyciągnie od nas nasze hasło, a po wszystkim jeszcze grzecznie poda numer zgłoszenia reklamacyjnego. Nic to, że takie zgłoszenie nie będzie istniało.

Uważajcie. Polska nie jest ani trochę zapóźniona w cyber zagrożeniach, to za chwilę może być u nas. A jeśli to do Ciebie zadzwoni ktoś, prosząc o kod 2FA - po prostu natychmiast się rozłącz.


Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl