Επιθέσεις phishing παρακάμπτουν τον έλεγχο ταυτότητας 2 παραγόντων
Μην περιμένετε ότι ο έλεγχος ταυτότητας δύο παραγόντων είναι πάντα αρκετός για να προστατεύετε τους λογαριασμούς σας. Η Google έχει παρατηρήσει μια ανησυχητική αύξηση των επιθέσεων phishing που μπορούν να παρακάμψουν τη ρύθμιση ασφαλείας.
«Έχουμε δει μια μεγάλη άνοδο στον αριθμό των 2FA phishing επιθέσεων», δήλωσε ο Nicolas Lidzborski, υπεύθυνος ασφαλείας για το Gmail.
Αυτές οι «2FA επιθέσεις phishing» δουλεύουν εξαπατώντας το θύμα, με σκοπό να δώσει τον κωδικό πρόσβασης και τον ειδικό κωδικό πρόσβασης μιας χρήσης, που προστατεύουν το λογαριασμό Gmail. Κανονικά, αυτός ο κωδικός πρόσβασης μιας χρήσης είναι δύσκολο να αποκτηθεί, καθώς εμφανίζεται στο smartphone ενός ατόμου και λήγει μετά από 30 δευτερόλεπτα.
Ωστόσο, ο Lidzborski δήλωσε ότι οι hackers έχουν επεξεργαστεί τα προγράμματα κλοπής κωδικών πρόσβασης, για να μπορούν να βρίσκουν και τον κωδικό πρόσβασης μιας χρήσης. Τα λεγόμενα «phishing kits» κλέβουν τον κωδικό πρόσβασης του θύματος και τον κωδικό ελέγχου ταυτότητας δύο παραγόντων, καθώς το πληκτρολογούν σε παραπλανητικές email και login σελίδες , και στη συνέχεια αποκτούν πρόσβαση στο λογαριασμό εντός του χρονικού ορίου των 30 δευτερολέπτων.
«Το 2FA είναι πολύ καλύτερο από έναν παράγοντα, που χρησιμοποιεί μόνο ένα όνομα χρήστη και έναν κωδικό πρόσβασης. Δεν υπάρχει αμφιβολία γι ‘αυτό», είπε. «Ωστόσο, κάποιοι hackers προσπαθούν να παρακάμψουν το 2FA».
Τον Δεκέμβριο, η Διεθνής Αμνηστία δήλωσε ότι μια ομάδα hacking κατάφερε να παρακάμψει την προστασία δύο παραγόντων μέσω μιας αυτοματοποιημένης επίθεσης phishing, που μπορεί να κλέψει και να συνδεθεί με τους κωδικούς πρόσβασης πριν τελειώσει το χρονικό όριο των 30 δευτερολέπτων. Ένα μήνα αργότερα, ένας ερευνητής ασφαλείας κυκλοφόρησε ένα toolkit ανοιχτού κώδικα, το οποίο μπορεί επίσης να δημιουργήσει σελίδες phishing για να παρακάμψει τους δύο παράγοντες.
Το ότι ο κωδικός πρόσβασης μιας χρήσης στέλνεται μέσω SMS δεν βοηθάει πάντα. Αυτό μπορεί να κάνει τον έλεγχο ταυτότητας δύο παραγόντων ευάλωτο σε επιθέσεις στη SIM, στις οποίες ένας hacker μπορεί να κλέψει τον αριθμό του κινητού τηλεφώνου.
Κατά τη διάρκεια της συζήτησης, ο Lidzborski δήλωσε ότι η Google προσπαθεί να προστατεύσει τους λογαριασμούς του Gmail από επιτυχείς επιθέσεις phishing, αποκλείοντας τις προσπάθειες σύνδεσης από άγνωστες γεωγραφικές τοποθεσίες. Η υπηρεσία email της εταιρείας μπορεί επίσης να σας προειδοποιήσει σχετικά με τα email που φαίνονται ως απόπειρες phishing και σχετικά με τους κινδύνους που προκύπτουν από το άνοιγμα ύποπτων συνδέσμων μέσα σε αυτά.
Αλλά για να είναι προστατευμένοι, ο Lidzborski συνιστά στους χρήστες και τις επιχειρήσεις να υιοθετήσουν μια λύση βασισμένη σε hardware: κλειδιά ασφαλείας USB. Λειτουργούν αντικαθιστώντας τους κωδικούς πρόσβασης μιας χρήσης με ένα φυσικό κομμάτι hardware, το οποίο μπορείτε να συνδέσετε στον υπολογιστή σας για να έχετε πρόσβαση στους λογαριασμούς σας στο διαδίκτυο. Τον Ιούλιο, η Google ανέφερε ότι είχε δώσει σε όλους τους υπαλλήλους της τα κλειδιά ασφαλείας.
Δυστυχώς, τα κλειδιά ασφαλείας δεν είναι φθηνά. Το προϊόν της Google κοστίζει $ 50 για δύο κλειδιά. Ωστόσο, ο Lidzborski δήλωσε ότι είναι πολύ αποτελεσματικά.
Ο Lidzborski δεν μπόρεσε να ποσοτικοποιήσει την ακριβή άνοδο των συγκεκριμένων επιθέσεων, που έχει διαπιστώσει η Google. Κατά μέσο όρο, η εταιρεία συναντά 100 εκατομμύρια fishing μηνύματα ανά ημέρα. Αλλά στο παρελθόν μόνο οι πιο εξειδικευμένοι hackers, όπως οι κρατικοί κατάσκοποι, χρησιμοποιούσαν επιθέσεις phishing, οι οποίες θα μπορούσαν να εξουδετερώσουν την ταυτότητα δύο παραγόντων, είπε. «Τώρα είναι διαθέσιμο ως phishing framework ανοιχτού κώδικα», πρόσθεσε. «Έτσι είναι πιο διαδεδομένο από πριν».
Πρέπει να είμαστε πάντα προσεκτικοί με τα εισερχόμενα στο email μας. Τα phishing emails συχνά μοιάζουν με νόμιμες υπηρεσίες, όπως η Google, και προσπαθούν να σας εξαπατήσουν με σκοπό να επισκεφτείτε μια επίσημη σελίδα σύνδεσης, ενώ στην πραγματικότητα το website έχει σχεδιαστεί για να κλέβει τους κωδικούς σας. Για να διδάξει στο κοινό πώς να εντοπίσει τις επιθέσεις phishing, το Jigsaw της Google τον περασμένο μήνα ανέπτυξε ένα phishing quiz, το οποίο μπορεί να σας μάθει περισσότερα πράγματα σχετικά με την απειλή.
Μην περιμένετε ότι ο έλεγχος ταυτότητας δύο παραγόντων είναι πάντα αρκετός για να προστατεύετε τους λογαριασμούς σας. Η Google έχει παρατηρήσει μια ανησυχητική αύξηση των επιθέσεων phishing που μπορούν να παρακάμψουν τη ρύθμιση ασφαλείας.
«Έχουμε δει μια μεγάλη άνοδο στον αριθμό των 2FA phishing επιθέσεων», δήλωσε ο Nicolas Lidzborski, υπεύθυνος ασφαλείας για το Gmail.
Αυτές οι «2FA επιθέσεις phishing» δουλεύουν εξαπατώντας το θύμα, με σκοπό να δώσει τον κωδικό πρόσβασης και τον ειδικό κωδικό πρόσβασης μιας χρήσης, που προστατεύουν το λογαριασμό Gmail. Κανονικά, αυτός ο κωδικός πρόσβασης μιας χρήσης είναι δύσκολο να αποκτηθεί, καθώς εμφανίζεται στο smartphone ενός ατόμου και λήγει μετά από 30 δευτερόλεπτα.
Ωστόσο, ο Lidzborski δήλωσε ότι οι hackers έχουν επεξεργαστεί τα προγράμματα κλοπής κωδικών πρόσβασης, για να μπορούν να βρίσκουν και τον κωδικό πρόσβασης μιας χρήσης. Τα λεγόμενα «phishing kits» κλέβουν τον κωδικό πρόσβασης του θύματος και τον κωδικό ελέγχου ταυτότητας δύο παραγόντων, καθώς το πληκτρολογούν σε παραπλανητικές email και login σελίδες , και στη συνέχεια αποκτούν πρόσβαση στο λογαριασμό εντός του χρονικού ορίου των 30 δευτερολέπτων.
«Το 2FA είναι πολύ καλύτερο από έναν παράγοντα, που χρησιμοποιεί μόνο ένα όνομα χρήστη και έναν κωδικό πρόσβασης. Δεν υπάρχει αμφιβολία γι ‘αυτό», είπε. «Ωστόσο, κάποιοι hackers προσπαθούν να παρακάμψουν το 2FA».
Τον Δεκέμβριο, η Διεθνής Αμνηστία δήλωσε ότι μια ομάδα hacking κατάφερε να παρακάμψει την προστασία δύο παραγόντων μέσω μιας αυτοματοποιημένης επίθεσης phishing, που μπορεί να κλέψει και να συνδεθεί με τους κωδικούς πρόσβασης πριν τελειώσει το χρονικό όριο των 30 δευτερολέπτων. Ένα μήνα αργότερα, ένας ερευνητής ασφαλείας κυκλοφόρησε ένα toolkit ανοιχτού κώδικα, το οποίο μπορεί επίσης να δημιουργήσει σελίδες phishing για να παρακάμψει τους δύο παράγοντες.
Το ότι ο κωδικός πρόσβασης μιας χρήσης στέλνεται μέσω SMS δεν βοηθάει πάντα. Αυτό μπορεί να κάνει τον έλεγχο ταυτότητας δύο παραγόντων ευάλωτο σε επιθέσεις στη SIM, στις οποίες ένας hacker μπορεί να κλέψει τον αριθμό του κινητού τηλεφώνου.
Κατά τη διάρκεια της συζήτησης, ο Lidzborski δήλωσε ότι η Google προσπαθεί να προστατεύσει τους λογαριασμούς του Gmail από επιτυχείς επιθέσεις phishing, αποκλείοντας τις προσπάθειες σύνδεσης από άγνωστες γεωγραφικές τοποθεσίες. Η υπηρεσία email της εταιρείας μπορεί επίσης να σας προειδοποιήσει σχετικά με τα email που φαίνονται ως απόπειρες phishing και σχετικά με τους κινδύνους που προκύπτουν από το άνοιγμα ύποπτων συνδέσμων μέσα σε αυτά.
Αλλά για να είναι προστατευμένοι, ο Lidzborski συνιστά στους χρήστες και τις επιχειρήσεις να υιοθετήσουν μια λύση βασισμένη σε hardware: κλειδιά ασφαλείας USB. Λειτουργούν αντικαθιστώντας τους κωδικούς πρόσβασης μιας χρήσης με ένα φυσικό κομμάτι hardware, το οποίο μπορείτε να συνδέσετε στον υπολογιστή σας για να έχετε πρόσβαση στους λογαριασμούς σας στο διαδίκτυο. Τον Ιούλιο, η Google ανέφερε ότι είχε δώσει σε όλους τους υπαλλήλους της τα κλειδιά ασφαλείας.
Δυστυχώς, τα κλειδιά ασφαλείας δεν είναι φθηνά. Το προϊόν της Google κοστίζει $ 50 για δύο κλειδιά. Ωστόσο, ο Lidzborski δήλωσε ότι είναι πολύ αποτελεσματικά.
Ο Lidzborski δεν μπόρεσε να ποσοτικοποιήσει την ακριβή άνοδο των συγκεκριμένων επιθέσεων, που έχει διαπιστώσει η Google. Κατά μέσο όρο, η εταιρεία συναντά 100 εκατομμύρια fishing μηνύματα ανά ημέρα. Αλλά στο παρελθόν μόνο οι πιο εξειδικευμένοι hackers, όπως οι κρατικοί κατάσκοποι, χρησιμοποιούσαν επιθέσεις phishing, οι οποίες θα μπορούσαν να εξουδετερώσουν την ταυτότητα δύο παραγόντων, είπε. «Τώρα είναι διαθέσιμο ως phishing framework ανοιχτού κώδικα», πρόσθεσε. «Έτσι είναι πιο διαδεδομένο από πριν».
Πρέπει να είμαστε πάντα προσεκτικοί με τα εισερχόμενα στο email μας. Τα phishing emails συχνά μοιάζουν με νόμιμες υπηρεσίες, όπως η Google, και προσπαθούν να σας εξαπατήσουν με σκοπό να επισκεφτείτε μια επίσημη σελίδα σύνδεσης, ενώ στην πραγματικότητα το website έχει σχεδιαστεί για να κλέβει τους κωδικούς σας. Για να διδάξει στο κοινό πώς να εντοπίσει τις επιθέσεις phishing, το Jigsaw της Google τον περασμένο μήνα ανέπτυξε ένα phishing quiz, το οποίο μπορεί να σας μάθει περισσότερα πράγματα σχετικά με την απειλή.
secnews.gr
Κατηγορίες:
Σχόλια