Nazwy użytkowników i hasła- ta kombinacja reprezentowała metodę uwierzytelniania użytkowników przez wiele dziesięcioleci. Jednak w miarę upływu czasu stawało się coraz bardziej oczywiste, że poleganie wyłącznie na dwóch słowach w celu ochrony danych osobowych nie jest pozbawione katastrofalnego ryzyka. W związku z tym niezliczone platformy nadal stosują bardziej złożone metody uwierzytelniania, aby zwiększyć bezpieczeństwo swoich użytkowników.
Być może najczęściej stosowaną alternatywą dla tradycyjnego uwierzytelniania opartego na haśle jestUwierzytelnianie dwuskładnikowe(2FA), znana również jako weryfikacja dwuetapowa. 2FA to środek bezpieczeństwa, który wymaga od użytkownikówpodać drugi czynnik(takich jak kod poza urządzeniem, czynnik biometryczny lub token fizyczny) oprócz hasła w celu potwierdzenia ich tożsamości. Chociaż ta dodatkowa warstwa ochrony może niewątpliwie utrudnić atakującym dostęp do Twojego konta,wciąż nie jest całkowicie niezawodny.
W tym artykule omówiono pięć typowych metod wykorzystywanych przez osoby atakujące w celu ominięcia weryfikacji dwuetapowej lub uwierzytelniania dwuskładnikowego oraz niektóre środki ostrożności, które można podjąć w celu ochrony konta.
Najczęstsze ataki z obejściem 2FA
1. Resetowanie hasła
Jednym z najłatwiejszych, a zatem najczęstszych sposobów obejścia uwierzytelniania dwuskładnikowego jest przezpo prostu korzystając z funkcji resetowania hasła w witrynach i aplikacjach.
Chociażkażda funkcja logowania powinna wymagać drugiego czynnika uwierzytelnieniapo włączeniu uwierzytelniania dwuskładnikowego często zapomina się o jednym z nich. Zaskakująca liczba platformumożliwić użytkownikom dostęp do konta po uzyskaniu tokena resetowania hasła bez dodatkowej weryfikacji. Oczywiście tak rażąca luka w zabezpieczeniach znacznie ułatwia pracę atakującym.
2. Inżynieria społeczna
Inną nietechniczną metodą obejścia uwierzytelniania dwuskładnikowego jestInżynieria społeczna. Chociaż ten notoryczny atak przybiera różne formy, wszystkie one mają wspólną cechęwspólny cel, jakim jest nakłonienie osoby do ujawnienia prywatnych informacji.
Nawet jeśli atakujący maTwoje poświadczenia użytkownika zostały już uzyskane, nadal musząuzyskać dodatkowy czynnik uwierzytelniającyaby uzyskać dostęp do swojego konta. Aby otrzymać wymagany kod od ofiary,przestępca może do nich zadzwonić, wysłać SMS-a lub e-maila z pozornie wiarygodnym uzasadnieniem. Oczywiście prawdopodobnie zrobią to w przebraniu zaufanego podmiotu, takiego jak Google lub Apple, aby zminimalizować podejrzenia. Upewnij się, że zawszedokładnie sprawdź tożsamość nadawcy, tak dobrze jaktreść wiadomości tekstowej, aby nie paść ofiarą próby włamania.
3. Ataki typu man-in-the-middle
Zaawansowani technologicznie napastnicy mogą nawet ominąć uwierzytelnianie dwuskładnikowebez znajomości danych logowania ofiary. Man-in-the-middle (MiTM)ataki opisują zjawiskoosoba trzecia, znany również jako man-in-the-middle,przechwytywanie komunikacji między dwoma systemami.
Podobnie jak Socjotechnika, MiTM atakujepolegać na oszustwie w celu uzyskania cennych informacjiod ich ofiary. Jednak zamiast bezpośrednio pytać o kod uwierzytelniania dwuskładnikowego, ta druga metoda wykorzystuje plikzłośliwego oprogramowania w celu wyodrębnienia plików cookie sesji użytkownika. Ponieważ pliki cookies zawierają dane użytkownika i śledzą jego aktywność,porwanie ich pozwala atakującemu łatwo ominąć 2FA.
Awitryna phishingowajest jednym z najpopularniejszych narzędzi do przeprowadzania ataków MiTM. Podając się za zaufaną jednostkę, przestępcaprosi ofiarę o uwierzytelnienie się za pomocą dołączonego linku. Dzięki stronie internetowej użytkownik jest przekierowywany do często pozornie legalnych, wielu osóbniczego nie podejrzewając wprowadzić swoje dane uwierzytelniające na stronie logowania serwera proxy. Niestety, w ten sposób witryna phishingowa może uzyskać dostępwrażliwe dane o użytkowniku, w tym danych osobowych, haseł lub mniej bezpiecznych drugorzędnych czynników, i przekazać je w niepowołane ręce.
4. Wyłudzanie zgody OAuth
Wyłudzanie zgody jest względnienowa, ale niebezpiecznie obliczona taktykaatakujący używają do przejmowania kont użytkowników. W przeciwieństwie do innych ataków z obejściem 2fa, które żerują na sesyjnych plikach cookie i danych logowania, ta technikajest skierowany do użytkowników, którzy są już zalogowani- robić toodp*rny na wszelkiego rodzaju środki ochrony logowania, takie jak uwierzytelnianie dwuskładnikowe i brak hasła.
Jeśli jesteśzarejestrowane w dowolnej aplikacji opartej na chmurze(takich jak Google Workspace i Microsoft 365), prawdopodobnie znasz już pojęcie zgody użytkownika. Na przykład, kiedy tyużyj istniejącego konta Googleaby zarejestrować się w witrynie internetowej lub aplikacji strony trzeciej, aekran zgody poprosi o zgodę na dostęp do określonych danych w Twoim profilu Google. Ponieważ zgodne z tym powszechnie spotykanym monitem jestniezbędne do korzystania z platformy, zwykle lekceważymy to jako bezsensowne ćwiczenie czytania i rutynowo klikamy „Akceptuj”.
I tak po prostu, wystarczyłojedno naciśnięcie przycisku, aby dać osobie za ekranem nieograniczony dostęp do Twojego konta, który jest zachowanynawet jeśli zmienisz hasło lub włączysz uwierzytelnianie dwuskładnikowe. Działania, które platforma może podjąć na podstawie uzyskanych informacji, mogą być różnewykorzystywanie Twoich danych uwierzytelniających do zapisywania plików i wysyłania wiadomości w Twoim imieniu.
Chociaż konsekwencje zgody użytkownika mogą wydawać się niepokojące, jeśli platforma prosząca o zgodę była zgodna z prawem, jest mało prawdopodobne, że miała ukryte motywy. Jednakże,OAuth 2.0, standardowy protokół, który kryje się za tymi ekranami zgody, umożliwia prawie każdemu zarejestrowanie aplikacji. Dzięki temu cyberprzestępcy mogą wykorzystywać pozornie niezawodną wymianę autoryzacji OAuth 2.0 poprzezoszukiwanie użytkownika w celu przyznania dostępu złośliwej platformie.
5. Generator duplikatów
Podobnie jak wiele innych ataków z obejściem 2FA, tzwGenerator duplikatówma również na celu wykorzystanie luk w zabezpieczeniach tej metody uwierzytelniania. Lub, dokładniej,wady hasła jednorazowego (OTP).
Co ciekawe, wydaje się, że wiele platform polega nageneratory liczbdo utworzenia klucza bezpieczeństwa używanego jako drugi czynnik uwierzytelniający. Te generatory zazwyczajzaczynają się od losowo wybranej wartości początkowej, która służy do wygenerowania pierwszej liczby w kodzie weryfikacyjnym. Jeśli to ziarno i algorytm zostaną nauczone, atakującymoże wytworzyć duplikat generatora ofiaryktóry wyświetli identyczny zestaw liczb - a tym samym znajdź hasło jednorazowe.
6. SIM-jacking
Podobnie jak w przypadku Duplicate-generator, atak ten wykorzystuje hasła jednorazowe. Jednak zamiast polegać na kopii OTP,Sim-jackingzapewnia tokod uwierzytelniający ląduje bezpośrednio w rękach hakera.
Jak sama nazwa wskazuje, ta metoda obejścia OTP obejmuje atakującegoprzejęcie karty SIM użytkownikaprzejąć ich numer telefonu. Biorąc pod uwagę złożoność współczesnych technik hakerskich,przestępca nie musi fizycznie posiadać karty SIM, aby ją wykorzystać. Po prostuoszukać operatora telefonii komórkowejdodanie docelowego numeru do telefonu atakującego pozwoli mu na odebranie wszystkich wiadomości tekstowych przeznaczonych dla ofiary - w tym OTP.
Jak możesz chronić swoje konto
Pomimo swoich wad,uwierzytelnianie dwuskładnikowe nadal pozostaje jedną z najskuteczniejszych metod ochrony własnego konta. Chociaż niektórzy mogli wymyślić, jak ominąć 2FA, jest ich kilkaśrodki zaradczeaby zapobiec takiemu atakowi.
Uważaj na OTP
Ze względu na ich prostą obsługę i szybką konfigurację,Kody bezpieczeństwa OTPugruntowali swoją pozycję jakoprzejść do drugorzędnego czynnika uwierzytelnianiadla wielu kont. Niestety, ich prostota jest również ich największą słabością.
Jeśli obawiasz się, że padniesz ofiarą sim-jackingu lub ataku z generatorem duplikatów, rozważ zastosowanie jednej z poniższych praktyk:
- Przełącz się na zastępcęMetoda 2FA- takie jak uwierzytelnianie biometryczne lub tokeny fizyczne.
- Użyj aplikacji uwierzytelniającej, aby otrzymać hasło jednorazowe- takie aplikacje (np. Authy) wyświetlają wyłącznie kod weryfikacyjny na urządzeniu, którego używasz i nie polegają na SMS-ach.
Przełącz na klucze dostępu
Klucze dostępu to całkowicie alternatywna metoda uwierzytelnianiaopiera się na wymianie kluczy prywatny-publiczny między urządzeniem a usługąw celu weryfikacji tożsamości użytkownika. Klucz prywatny jest bezpiecznie przechowywany na urządzeniu i wymaga tego od użytkownikapodać drugi czynnik, takie jak dane biometryczne, aby odblokować klucz. Chociaż zarówno uwierzytelnianie dwuskładnikowe, jak i klucze dostępu niewątpliwie przewyższają tradycyjne logowanie oparte na hasłach pod względem bezpieczeństwa, ta druga metoda jestmniej podatne na phishing i cyberataki ze względu na całkowitą rezygnację z haseł.
Oceń prośby o zgodę
Douniemożliwić oszukańczej witrynie internetowej lub aplikacji korzystanie z protokołu OAuth 2.0 w celu delegowania dostępu, zdecydowanie zalecamy użytkownikomdokładnie zapoznaj się z prośbą o zgodę, a także dane i uprawnienia, o które prosi. Jeśli zauważyszbłąd ortograficzny lub gramatycznyw jakimkolwiek tekście wyświetlanym przez aplikację oznacza to, że platforma jest prawdopodobnie nielegalna. Nawet jeśli domena wydaje się być godna zaufania, pamiętaj o tymosoby atakujące często podszywają się pod te, które wydają się pochodzić z renomowanej usługi lub firmy.
Jeśli masz jakiekolwiek podejrzenia, że platforma próbuje wyłudzić zgodę,proszę to zgłosićalbobezpośrednio w formularzu zgody lub do krajowego centrum bezpieczeństwa cybernetycznego w Twoim kraju.
Nigdy nie udostępniaj swojego kodu uwierzytelniającego!
Na koniec weź pod uwagę odwieczną zasadę dbania o bezpieczeństwo konta:Nigdy nie udostępniaj swojego kodu weryfikacyjnego/linkuz kimkolwiek. Pamiętać:Żadna legalna usługa nigdy nie poprosi Cię o odpowiedź z danymi uwierzytelniającymi, które (rzekomo) właśnie Ci wysłali.
Podsumowując
Wraz z postępem metod omijania uwierzytelniania dwuskładnikowego muszą rozwijać się nasze środki zaradcze. ZCYTADELAjak Twoja organizacjarozwiązanie uwierzytelniające, możesz łatwo chronić konta użytkowników końcowych i poufne dane za pomocąbezpieczny mechanizm resetowania hasła, odp*rne na phishing opcje MFA (np.wiele innych najnowocześniejszych funkcji bezpieczeństwa.
