Hackeři našli nový způsob, jak obejít dvoufázové ověření. Tohle si v nastavení zkontrolujte, jinak jste snadný cíl

Dvoufázové ověření (2FA) se dlouho považovalo za zlatý standard digitální bezpečnosti. Dlouho se věřilo, že kombinace hesla a vlastního telefonu je neprůstřelná. Chrání totiž účet i v případě, že vaše heslo unikne při velkém úniku dat nebo se ho útočník dozví pomocí prostého phishingu. Nyní se však objevila nová, alarmující hrozba, která tento ochranný val efektivně obchází. Není k ní potřeba žádné složité prolomení kryptografie, nýbrž dokonalá kombinace techniky a lidské psychologie. Jde o útok, který oběť donutí, aby sama a dobrovolně útočníkovi kód OTP sdělila.

Podvodníci mají stále sofistikovanější způsoby, jak z lidí vylákat citlivé údaje , ...

Phishing, data a bankovní bot

Tento sofistikovaný podvod, na který upozornila mimo jiné bezpečnostní společnost Kaspersky, probíhá v precizně načasovaných krocích. Útočníci využívají fakt, že lidé jsou zvyklí na automatizované bankovní služby a zároveň jsou pod tlakem náchylnější k chybám. Prvním cílem je vždy získání přihlašovacího jména a hesla. Útočníci k tomu využívají klasické metody, jakou je phishing. Vytvoří tak třeba napodobeninu známé stránky či služby, třeba banky, dopravní společnosti, e-mailu nebo sociální sítě. Hacker pak oběť na tento web naláká pod záminkou zrušení účtu. Nic netušící uživatel vypíše své údaje do přesvědčivě vypadajících políček – a tímto je poskytne podvodníkovi.

Jakmile útočník získá tyto údaje, pokusí se ihned přihlásit. Tím aktivuje zaslání kódu OTP na telefon oběti. Tento kód účet stále chrání, protože přijde na telefonní číslo oběti. V tuto chvíli podvodník přichází s druhou fází. Aby kód získal, zavolá na číslo automatizovaný hovor. Jde o takzvaný vishing, což je kombinace voice a phishingu. Hlas na druhé straně se vydává za robota nebo operátora z oddělení prevence podvodů z banky či jiné autority. Hovor je neuvěřitelně přesvědčivý, protože nejprve navodí paniku sdělením, že právě probíhá pokus o neoprávněné přihlášení k účtu. To je technicky pravda, a uživatel to ví.

Následuje falešná ochrana, kdy bot oběť upozorní, že na její telefon byl právě odeslán bezpečnostní kód OTP. Klíčovým požadavkem je věta: „Abychom transakci okamžitě zablokovali a ověřili, že jste to opravdu vy, zadejte prosím kód, který vám byl právě zaslán, na klávesnici vašeho telefonu, nebo jej nadiktujte.“ 

Vystrašená oběť tak v domnění, že chrání svůj účet před probíhajícím útokem, nadiktuje, nebo zadá kód OTP přímo útočníkovi. Ten pak kód ihned použije k dokončení přihlášení a má plný přístup k účtu.

Podobné kódy z SMS nebo mailu nikdy nikomu nesdělujte , ...

Tohle si v nastavení zkontrolujte, jinak jste snadný cíl

Útočník uspěje jen tehdy, pokud je v danou kritickou chvíli oběť na telefonu. Nejefektivnější obranou je proto narušit časování a mechanismus jejich útoku. Nejdůležitějším krokem, který útočníkovi zkazí plány, je zkontrolovat si upozornění na podezřelé přihlášení neboli Login Alerts. Většina bankovních a e-mailových služeb má v nastavení bezpečnosti možnost okamžitého upozornění na nový pokus o přihlášení z neznámého zařízení nebo geografické lokace. 

Funguje to tak, že pokud se někdo pokusí připojit nebo připojí k vašemu účtu, na e-mail či telefon přijde zpráva s textem jako: „Někdo se právě pokouší přihlásit k vašemu účtu z místa [město/země]. Je to v pořádku?“. Tuto notifikaci obdržíte ještě předtím, než vám zavolá podvodný bot. Uživatel tak o podvodu ví a může případné cizí číslo ihned zablokovat a změnit si všechna hesla. 

Projděte nastavení zabezpečení svých kritických účtů, tedy e-mailu, banky a cloudového úložiště, a zapněte všechny typy upozornění na podezřelé přihlášení a aktivitu. Dále je nutné upřednostnit ověření přes aplikaci, protože kód zaslaný v SMS je nejslabším článkem řetězce. Útočníci dokáží OTP kódy ze SMS získat snáze, například krádeží SIM karty neboli takzvaným SIM-swapem. A nakonec si pamatujte jedno zásadní “zlaté” pravidlo – nikdy nikomu nediktovat žádné kódy z SMS nebo e-mailů.