Najnowsze doniesienia wskazują na to, że popularny serwis - agregator treści budowany przez użytkowników, Reddit (którego polskim odpowiednikiem jest Wykop) został zaatakowany. Cyberprzestępcy uzyskali dostęp m. in. do kont należących do pracowników Reddita, a także pozyskali backupy, a także informacje o wysłanych mailach.
Reddit zaatakowany. Co zawiodło? Między innymi... dwuskładnikowe uwierzytelnianie
Jak udało się dalej ustalić, konta użytkowników zostały przejęte mimo obecności tzw. dwuskładnikowego uwierzytelniania, w ramach którego należy potwierdzić swoją tożsamość na innym, uprawnionym do tego urządzeniu. W przypadku Reddita odbywało się to za pomocą SMS-ów / połączeń bezpieczeństwa, w których zawierano jednorazowy kod, który należało wprowadzić w trakcie logowania. Od dawna jednak wiadomo, że i takie ograniczenie da się w pewien sposób ominąć - wystarczy przejąć kontrolę nad uprawnionym do otrzymywania informacji bezpieczeństwa numerem telefonu. Choć wydaje się to karkołomne - jest to możliwe i niestety, ale odnotowywano już podobne przypadki.
Można zainfekować urządzenie mobilne wirusem, który będzie w stanie odczytywać SMS-y napływające do ofiary i przekazywać te informacje dalej. W podobny sposób zaatakowano polskiego fana kryptowalut, który w przedstawianej przez nas historii stracił naprawdę potężne pieniądze - tylko dlatego, że zainstalował aplikację skierowaną do osób zainteresowanych alternatywnymi, cyfrowymi środkami płatniczymi. Wewnątrz podejrzanego programu znajdował się mechanizm zdolny do odczytywania wiadomości, a także zmiany ustawień telefonu komórkowego.
Innym sposobem jest... wyrobienie duplikatu karty SIM opierając się m. in. na skradzionych danych: w takim wypadku wystarczy wejść w posiadanie choćby skanu dowodu osobistego lub innego dokumentu wymaganego w trakcie tej procedury. Udając się do operatora można w bardzo prosty sposób wyłączyć oryginalną kartę SIM, a następnie za pośrednictwem tak pozyskanego numeru przeprowadzić procedurę logowania, a następnie przechwycenia konta.
Dużo lepszym pomysłem jest wykorzystywanie programów uwierzytelniających
M. in. Google Authenticator skierowany jest do osób, które chcą dbać o bezpieczeństwo swoich kont w nieco bardziej rozważny sposób. Tak rozwiązane uwierzytelnianie dwuskładnikowe, oparte na działaniu oddzielnego programu jest znacznie bezpieczniejsze, choć nie jest jednoznacznie odporne na wszelkie ataki. Telefon może zostać przecież zainfekowany przez malware, który i tak spowoduje, że proces uwierzytelniania zakończy się sukcesem.
Uwierzytelnianie dwuskładnikowe nie jest więc metodą, która daje nam absolutną pewność, że cyberprzestępcy nie dobiorą się do należących do nas informacji. Nie jest to pierwszy incydent ujawniający wady tego rozwiązania, zwłaszcza gdy jest ono oparte głównie na wykorzystaniu SMS-ów bezpieczeństwa, które można w bardzo prosty sposób przechwycić. Reddit już zapowiedział, że po tym ataku model logowania wspomaganego przez 2FA zostanie nieco przebudowany - tak, aby zapobiec podobnym incydentom w przyszłości.
Dwuskładnikowe uwierzytelnianie nie chroni Cię w pełni. Co możesz zrobić, aby nie paść ofiarą?
Powszechną praktyką wśród użytkowników usług jest wykorzystywanie tych samych haseł w różnych usługach. To zaś daje hakerom spore pole do popisu: ci dysponując informacjami dotyczącymi kont próbują wykorzystać znane sobie kombinacje w innych miejscach. Jeżeli będzie im bardzo zależało na danych, zapewne uciekną się do bardziej wyrafinowanych metod (takich jak wskazane powyżej). Aby mieć pewność, że nasze informacje mimo wszystko nie wpadną w niepowołane ręce - warto dbać o "higienę" haseł: nie korzystać z tego samego w więcej niż jednej usłudze i co jakiś czas je zmieniać. Jest to nieco "upierdliwe", aczkolwiek nie ma obecnie innej, lepszej metody zabezpieczania się przed tego typu zagrożeniami.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu