Sprytny atak na użytkowników GMaila wyłudzający kod z SMS-a


W sieci pojawił się screen wiadomości SMS, jaką otrzymał jeden z użytkowników GMaila:

CkJH47gUoAEpZNG

Na powyższy atak narażone są osoby, w stosunku do których atakujący ma:

  • adres e-mail

    (dla podniesienia wiarygodności umieszcza go w treści smsa)

  • numer telefonu skojarzony z kontem Google

    (na niego wysyła powyższą wiadomość SMS)

  • i hasło do ich konta GMail

    (bez tego atakujący nie wymusi wysłana przez Google SMS-a z kodem)

Scenariusz ataku jest prosty — atakujący najpierw wysyła ofierze wiadomość jak na powyższym obrazku, a potem wypełnia formularz logowania w imieniu ofiary. Po podaniu hasła, jego oczom ukazuje się taki ekran:

gmail-2factor

W tym samym czasie Google wysyła SMS-a z kodem do ofiary. I ten kod ofiara (o ile nabierze się na SMS-a atakującego) ma mu odesłać. Kody są ważne co najmniej kilka minut, więc atakujący ma sporo czasu na jego przepisanie z SMS-a od ofiary.

W Polsce atak jest o tyle wiarygodniejszy, że SMS-y (te prwadziwe) od Google przychodzą nie z tzw. short-codes (czyli “GOOGLE”) a z klasycznych numerów telefonów, np. +48 519 …

Mam GMaila — co robić, jak żyć?

Pilnuj swojego hasła. Aby powyższy atak doszedł do skutku, atakujący musi je znać. Zastanów się więc dwa razy, gdzie je wpisujesz i zadbaj o to, aby nie było ono takie samo lub podobne do hasła z jakiego korzystasz w innej usłudze.

Nigdy nie odsyłaj żadnych kodów SMS-em. Nikomu. Zaprezentowany powyżej atak, to piękny przykład socjotechniki, którą powinniście znać od lat, gdyż nasi rodzimi przestępcy w dokładnie ten sposób wyłudzają tokeny potrzebne do zapisania na usługi premium SMS — por. technikę gapowatej Ewy, która w tym roku zmieniła imię na Ania:

2

Sukces ataku polega na słabości ludzkiej, dlatego nie rezygnuj z dwuskładnikowego uwierzytelnienia (bez niego, w przypadku tego ataku, przestępca już byłby na twoim koncie).

A skoro już jesteśmy przy wyłudzaniu 2 składnika uwierzytelnienia, to atakujący niekoniecznie musi znać hasło do konta, aby przeprowadzić podobne wyłudzenie kodu dającego dostęp do czyjejś skrzynki na GMailu. Używając procedury resetu hasła, dostęp do konta również można uzyskać przy pomocy kodu odczytanego z telefonu:

gmail-pass-reset

Dlatego warto, abyś dodał w ustawieniach alternatywny e-mail. To utrudni atakującemu przejście ścieżki wymaganej do resetu hasła — będzie jeszcze musiał odgadnąć alternatywny adres e-mail:

Odzyskiwanie_konta_Google 2

Skuteczne obejście googlowego 2FA miało już miejsce. 2 razy.

Na koniec, z kronikarskiego obowiązku przypomnijmy, że googlowy mechanizm dwuskładnikowego uwierzytelnienia został w przeszłości z sukcesem ominięty 2 razy. Raz przez grupę UGNazi, a potem przez badaczy z DuoSecurity.

źródło: http://niebezpiecznik.pl

Informacje

Jestem absolwentem WSZiA w Zamościu. W latach 1996 -2006 pracowałem dla firmy MABERO PROJEKT-TEL świadczącej usługi w zakresie okablowania strukturalnego i budowy sieci teleinformatycznych. Współpracowałem z firmą NETIA i IT-NET. Obecnie tworzę strony www z wykorzystaniem technologii CMS bazującej na silniku Wordpress i Joomla, odzyskuję dane z każdego nośnika danych, serwisuję komputery, zakładam instalacje logiczne.

Napisane w komputery
Pomiar prędkości łącza

www.netmeter.pl

Archiwum
Yanosik24
Widget Yanosik24.pl

Member of The Internet Defense League

Blog Stats
  • 9,842 hits
%d blogerów lubi to: