Dvoufázové ověření není už bezpečné. Hackeři ho umí obejít
Je dobře známo, že pro bezpečný přístup k on-line službám už dlouhou dobu nestačí používat jen uživatelská jména a hesla. Proto se používá další level zabezpečení – vícefázové ověřování – které se stalo v mnoha případech nutností. K přihlašování pomocí hesla přidává ještě další nezávislou metodu. Jak se však ukázalo, ani toto nemusí být dostačující. Problém není v samotné technologii, ale největší slabinou, jak se ukazuje, je i tady sám uživatel.
Studie ukazují, že k více než 80 % všech bezpečnostních narušení dochází v souvislosti s hackingem. Především z důvodu kompromitovaných a slabých přihlašovacích údajů. Čísla, která přitom zveřejnila společnost Microsoft naznačují, že uživatelé, kteří povolili vícefázovou, nebo také dvoufaktorovou autentizaci, nakonec zablokovali asi 99,9 % automatizovaných útoků. „To je skvělé číslo, ale jako u každého dobrého řešení kybernetické bezpečnosti útočníci mohou přijít na způsoby, jak ho obejít. A jak dokládá nedávný případ kryptoměnové burzy Coinbase, to se také stalo,“ prozrazuje Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT odborník společnosti Soitron.
Jak lze zabezpečení obejít?
Dvoufaktorovou autentifikaci lze obejít na základě jejího principu fungování. Tedy prostřednictvím vypátrání, lépe řečeno odcizení např. jednorázových kódů zaslaných v SMS na mobilní telefon uživatele. Tato metoda spočívá v tom, že hackeři nejprve na základě vyzrazeného seznamu e-mailů zašlou uživatelům e-mailové sdělení, které se tváří např. jako zpráva od banky. Pokud v něm uživatel klikne na odkaz, dojde k otevření webové stránky, která vypadá legitimně – jako kdyby byla banky. Uživatelé, kteří si dávají pozor a mají jisté IT znalosti, odhalí, že něco může být špatně. Většinou se podvržená stránka ukrývá na internetové adrese, která nepatří bance a obsahuje například překlep.
Až sem nejde o žádnou nově používanou techniku. Nové je to, co následuje potom. Jako URL adresa se použije něco ve tvaru www.mojebanka.cz.resethesla.cz. Na první pohled jde o doménu banky, takže vše vypadá v pořádku, ale zkušený uživatel ví, že doména druhého řádu není www.mojebanka.cz, ale resethesla.cz. A v tom je velký rozdíl, protože tato doména patří útočníkům. Ještě více alarmující je, že pokud na tento web přejde uživatel z mobilního telefonu, tak se mu v případě, že adresa banky je delší, nemusí zobrazit celá. Tudíž vidí jen to, na co je zvyklý. V tomto případě nejde o žádnou technickou chybu, ale o využití zranitelnosti UX – tedy toho, že víme, že browser v mobilu zobrazí jen určitý počet znaků URL adresy a ten zbytek je skrytý. Podvodná stránka může v případě tohoto „triku“ také použít SSL zabezpečení (URL začíná https://), aby díky v browseru zobrazenému zámku evokovala v uživatelích pocit bezpečnosti. Málokdo, si totiž otevírá a ověřuje detaily certifikátu, kterým je SSL šifrované.
Vše začíná phishingem
Pokud na podvrženou adresu uživatel skočí, pak hackeři využijí phishingový útok. K tomu stačí, aby jejich web 1:1 vypadal jako ten patřící bance. Na přihlašovací stránce uživatel zadá jméno a heslo. Tím hacker získá první klíč pro vstup. Okamžitě, tedy v reálném čase po obdržení, tyto údaje ručně zadá do opravdového webového rozhraní banky. Ta jeho majiteli na jeho mobilní telefon pošle autentifikační SMS kód, a pokud ho uživatel zadá opět do podvržené stránky, má hacker, co potřebuje.
Během chvilky se ocitne v internetovém bankovnictví uživatele, na nic nečeká a zadá příkaz k platbě. Ten je zapotřebí opět potvrdit. Proto opět uživateli na mobil přijde SMS kód, ale protože stále na podvržené stránce čeká na vstup do banky, tak se mu v tomto mezidobí zobrazí například hlášení, že ho přihlašují, ať chvilku počká. Následně se zobrazí informace o tom, že první přihlášení se nepovedlo a ať zadá druhý SMS kód, který mu byl právě odeslán. „A to je ten kód, který slouží k potvrzení provedení skutečné platby. Jestliže si tohoto upozornění v SMS uživatel nevšimne, a zadá ho do phishingové stránky, hacker ho přepíše do internetového bankovnictví a peníze se mu povede z účtu odčerpat,“ prozrazuje Martin Lohnert.
Přepisování kódů pod palbou
Jak je vidět, i s minimálními úsilími lze prorazit dvoufázové autentifikační zabezpečení. „Proto je mnohem bezpečnější používat novější typy dvoufázového ověřování, a to prostřednictvím specializovaných aplikací. V nich je právě eliminováno riziko přepisování kódů a vše se děje v rámci rozhraní banky automaticky,“ uvádí Martin Lohnert. Starší podoby, tedy právě ruční přepisování jsou přitom dále využívány nejen různými službami – mimo jiné v aplikaci Google Authenticator, Microsoft Authenticator a právě některými bankami.
Ačkoliv musí být splněno několik podmínek a na sebe navazujících kroků, aby výše uvedené útoky fungovaly, prokazují zranitelnost ve dvoufázových identifikačních metodách založených na SMS a také to, že tyto útoky nevyžadují vysoké technické schopnosti.