hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
9 listopada 2021

Jak oszukać 2FA, czyli natychmiast rozłącz rozmowę

Uwierzytelnianie dwuskładnikowe. Coś, do czego od dawien dawna namawiamy Was wszystkich, jako jednej z najlepszych metod zabezpieczenia konta. Okazuje się jednak, że nie ma idealnych pomysłów. A ludzka nieostrożność potrafi poradzić sobie z każdym zabezpieczenie.

Czym jest uwierzytelnianie dwuskładnikowe (2 Factor Authentication, 2FA)? Pisaliśmy o tym już kilkakrotnie, więc – w skrócie – krótki pseudolosowy kod, wpisywany po zalogowaniu loginem i hasłem. Może mieć formę SMSa (od tego jednak się odchodzi), bądź tokena – czy to fizycznego, czy w formie aplikacji na telefon. W dwóch ostatnich przypadkach kod jest zmieniany co 60 sekund. W ten sposób realizujemy zasadę „coś co wiesz” (hasło) + „coś co masz” (token). Więcej informacji znajdziecie np. tutaj.

Skoro to taki dobry pomysł, to w czym tkwi problem? W socjotechnice rzecz jasna i w regułach: autorytetu oraz lubienia i sympatii. No i przy okazji jeszcze w największym motywatorze do działania, czyli strachu. Wyobraźcie sobie sytuację, gdy dzwoni do Was telefon, a gdy odbieracie, słyszycie, że to infolinia PayPala, Amazona, czy innej firmy, korzystającej z 2FA. Rozmówca, używając bardzo poważnie brzmiących słów mówi o nieautoryzowanej transakcji, czy próbie włamania na konto. Wy nawet przez chwilę pomyśleliście, że to może być oszustwo, ale przecież nikt Was nie prosi o login, czy hasło! Mówi tylko:

„Dla zapewnienia bezpieczeństwa proszę o wpisanie sześciocyfrowego kodu z SMS/Twojej aplikacji mobilnej”

Swoją drogą to kolejny dowód na to, że SMSy (jako dodatkowa droga autoryzacji) powinny trafić na śmietnik historii. SMS od firmy X, z jakimś kodem? Jasne, że podam, przecież człowiek po to dzwoni! Ale kiedy korzystamy świadomie z aplikacji do 2FA, wiemy w jakiej sytuacji wpisujemy ten kod. Co więcej, kolejny krok niezbędny, by do niego się dostać, otwarcie aplikacji, może spowodować, że jednak przez chwilę o tym pomyślimy…

Bo akurat co do tego, czy tak się da, nie musimy się zastanawiać. Boty, dzwoniące do mniej lub bardziej losowych użytkowników to również w Polsce nie jest nic nowego. Choćby słynne już telefony proponujące rozwiązania fotowoltaiczne, czy „pół-boty” w postaci ludzi, klikających odpowiednie pozycje z podanego skryptu. Nie dziwi więc wynik badania, przeprowadzonego przez Motherboard, które wykazało, że przekonanie (znacznej części z) nas do podzielenia się kodem z 2FA nie jest wielkim problem. A skąd wezmą login i hasło? Hmmm, zajrzyjcie choćby na https://www.haveibeenpwned.com/ i sprawdźcie, czy nie ma tam Waszych? Jeśli nie korzystaliście z HIBP to możecie to zrobić bez ryzyka.

Potem wystarczy tylko pan/i, który/a odpowiednio poważnym (za każdym razem takim samym) głosem powie nam jak straszne zło się stało, wyciągnie od nas nasze hasło, a po wszystkim jeszcze grzecznie poda numer zgłoszenia reklamacyjnego. Nic to, że takie zgłoszenie nie będzie istniało.

Uważajcie. Polska nie jest ani trochę zapóźniona w cyber zagrożeniach, to za chwilę może być u nas. A jeśli to do Ciebie zadzwoni ktoś, prosząc o kod 2FA – po prostu natychmiast się rozłącz.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

25 kwietnia 2025
Oferta pracy przez WhatsApp? Tak oszuści wyłudzają pieniądze
Dowiedz się więcej
22 kwietnia 2025
(nie)Bezpieczna Sieć – seniorzy, ten film jest dla Was!
Dowiedz się więcej
16 kwietnia 2025
Raport CERT Orange Polska 2024 już dostępny!
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance