Je dobře známo, že pro bezpečný přístup k on-line službám už dlouhou dobu nestačí používat jen uživatelská jména a hesla. Proto se používá další úroveň zabezpečení, a sice vícefázové ověřování (autentizace), které se stalo v mnoha případech nutností.
Vícefázové ověřování sice přidává k přihlašování pomocí hesla ještě další nezávislou metodu, jak se však ukázalo, ani toto nemusí být dostačující.
Vše začíná phishingem
Problém není v samotné technologii. Největší slabinou, jak se ukazuje, je i tady sám uživatel. Hackeři už totiž vědí, jak dvoufázovou autentizaci obejít, varuje Soitron. Vše začíná phishingem. Obrana by měla začít prověřením URL se zabezpečením SSL s https://… a kliknout na symbol zámku s detaily certifikátu, kterým je SSL šifrované, sděluje Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT odborník společnosti Soitron.
Až 99,9% úspěšnost dvoufaktorové autentizace, ale…
Studie ukazují, že k více než 80 % všech bezpečnostních narušení dochází v souvislosti s hackingem. Především z důvodu kompromitovaných a slabých přihlašovacích údajů. Čísla, která přitom zveřejnila společnost Microsoft naznačují, že uživatelé, kteří povolili vícefázovou, nebo také dvoufaktorovou autentizaci, nakonec zablokovali asi 99,9 % automatizovaných útoků. „To je skvělé číslo, ale jako u každého dobrého řešení kybernetické bezpečnosti útočníci mohou přijít na způsoby, jak ho obejít. A jak dokládá nedávný případ kryptoměnové burzy Coinbase, to se také stalo,“ prozrazuje Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT odborník společnosti Soitron.
Jak lze zabezpečení obejít?
Dvoufaktorovou autentizaci lze obejít na základě jejího principu fungování. Tedy prostřednictvím vypátrání, lépe řečeno odcizení např. jednorázových kódů zaslaných v SMS na mobilní telefon uživatele. Tato metoda spočívá v tom, že hackeři nejprve na základě vyzrazeného seznamu e-mailů zašlou uživatelům e-mailové sdělení, které se tváří například jako zpráva od banky. Pokud v něm uživatel klikne na odkaz, dojde k otevření webové stránky, která vypadá legitimně – jako kdyby byla banky. Uživatelé, kteří si dávají pozor a mají jisté IT znalosti, odhalí, že něco může být špatně. Většinou se podvržená stránka ukrývá na internetové adrese, která nepatří bance a obsahuje například překlep.
Až sem nejde o žádnou nově používanou techniku. Nové je to, co následuje potom. Jako URL adresa se použije něco ve tvaru www.mojebanka.cz.resethesla.cz. Na první pohled jde o doménu banky, takže vše vypadá v pořádku, ale zkušený uživatel ví, že doména druhého řádu není www.mojebanka.cz, ale resethesla.cz. A v tom je velký rozdíl, protože tato doména patří útočníkům. Ještě více alarmující je, že pokud na tento web přejde uživatel z mobilního telefonu, tak se mu v případě, že adresa banky je delší, nemusí zobrazit celá. Tudíž vidí jen to, na co je zvyklý. V tomto případě nejde o žádnou technickou chybu, ale o využití zranitelnosti UX – tedy toho, že víme, že browser v mobilu zobrazí jen určitý počet znaků URL adresy a ten zbytek je skrytý. Podvodná stránka může v případě tohoto „triku“ také použít SSL zabezpečení (URL začíná https://), aby díky v browseru zobrazenému zámku evokovala v uživatelích pocit bezpečnosti. Málokdo, si totiž otevírá a ověřuje detaily certifikátu, kterým je SSL šifrované.
Vše začíná phishingem
Pokud na podvrženou adresu uživatel skočí, pak hackeři využijí phishingový útok. K tomu stačí, aby jejich web 1:1 vypadal jako ten patřící bance. Na přihlašovací stránce uživatel zadá jméno a heslo. Tím hacker získá první klíč pro vstup. Okamžitě, tedy v reálném čase po obdržení, tyto údaje ručně zadá do opravdového webového rozhraní banky. Ta jeho majiteli na jeho mobilní telefon pošle autentifikační SMS kód, a pokud ho uživatel zadá opět do podvržené stránky, už má hacker vše, co potřebuje.
Během chvilky se ocitne v internetovém bankovnictví uživatele
Na nic nečeká a zadá příkaz k platbě. Ten je zapotřebí opět potvrdit. Proto opět uživateli na mobil přijde SMS kód, ale protože stále na podvržené stránce čeká na vstup do banky, tak se mu v tomto mezidobí zobrazí například hlášení, že ho přihlašují, ať chvilku počká. Následně se zobrazí informace o tom, že první přihlášení se nepovedlo a ať zadá druhý SMS kód, který mu byl právě odeslán. „A to je ten kód, který slouží k potvrzení provedení skutečné platby. Jestliže si tohoto upozornění v SMS uživatel nevšimne, a zadá ho do phishingové stránky, hacker ho přepíše do internetového bankovnictví a peníze se mu povede z účtu odčerpat,“ prozrazuje Martin Lohnert.
Přepisování kódů pod palbou
Jak je vidět, i s minimálním úsilím lze prorazit dvoufázové autentizační zabezpečení. „Proto je mnohem bezpečnější používat novější typy dvoufázového ověřování, a to prostřednictvím specializovaných aplikací. V nich je právě eliminováno riziko přepisování kódů a vše se děje v rozhraní banky automaticky,“ uvádí Martin Lohnert. Starší podoby, tedy právě ruční přepisování, jsou přitom dále využívány nejen různými službami – mimo jiné v aplikaci Google Authenticator, Microsoft Authenticator a právě některými bankami.
Ačkoliv musí být splněno několik podmínek a na sebe navazujících kroků, aby výše uvedené útoky fungovaly, prokazují zranitelnost ve dvoufázových identifikačních metodách založených na SMS a také to, že tyto útoky nevyžadují vysoké technické schopnosti.