Některé typy onlinových služeb, typicky třeba nástroje pro internetové platby, využívají ke zvýšení bezpečnosti takzvané vícefázové ověřování. Přihlašování pomocí jména a hesla tak doplňuje ještě minimálně jedna další, nezávislá metoda. Ani to však nemusí být dostačující, pokud selže sám uživatel.
Studie ukazují, že k více než 80 % všech bezpečnostních narušení dochází v souvislosti s hackingem. Především z důvodu kompromitovaných a slabých přihlašovacích údajů. Čísla, která přitom zveřejnila společnost Microsoft, naznačují, že uživatelé, kteří povolili vícefázovou, nebo alespoň dvoufaktorovou autentizaci, nakonec zablokovali asi 99,9 % automatizovaných útoků. „To je skvělé číslo, ale jako u každého dobrého řešení kybernetické bezpečnosti útočníci mohou přijít na způsoby, jak ho obejít. A jak dokládá nedávný případ kryptoměnové burzy Coinbase, to se také stalo,“ prozrazuje Martin Lohnert, ředitel centra kybernetické bezpečnosti Void SOC a IT odborník společnosti Soitron.
Zabezpečení lze obejít Dvoufaktorovou autentifikaci lze obejít na základě jejího principu fungování. Tedy prostřednictvím vypátrání, lépe řečeno odcizení např. jednorázových kódů zaslaných v SMS na mobilní telefon uživatele. Tato metoda spočívá v tom, že hackeři nejprve na základě vyzrazeného seznamu e-mailů zašlou uživatelům e-mailové sdělení, které se tváří např. jako zpráva od banky. Pokud v něm uživatel klikne na odkaz, dojde k otevření webové stránky na první pohled vypadající zcela legitimně, tedy jako kdyby ji vytvořila skutečná banka. Uživatelé, kteří si dávají pozor a mají jisté IT znalosti, odhalí, že něco může být špatně. Většinou se podvržená stránka ukrývá na internetové adrese, která nepatří bance. V některých případech se liší třeba jen v lehce přehlédnutelném „překlepu“. Až sem nejde o žádnou nově používanou techniku. Nové je to, co následuje potom. Jako URL adresa se použije něco ve tvaru www.mojebanka.cz.resethesla. cz. Na první pohled jde o doménu banky, takže vše vypadá v pořádku, ale zkušený uživatel ví, že doména druhého řádu není www.mojebanka.cz, ale resethesla.cz. A v tom je velký rozdíl, protože tato doména patří útočníkům. Ještě více alarmující je, že pokud na tento web přejde uživatel z mobilního telefonu, tak se mu v případě, že adresa banky je delší, nemusí zobrazit celá. Tudíž vidí jen to, na co je zvyklý. V tomto případě nejde o žádnou technickou chybu, ale o využití zranitelnosti UX — tedy toho, že víme, že browser v mobilu zobrazí jen určitý počet znaků URL adresy a ten zbytek je skrytý. Podvodná stránka může v případě tohoto „triku“ dokonce použít i bezpečnostní certifikát SSL (URL začíná https://), aby díky v browseru zobrazenému zámku evokovala v uživatelích pocit bezpečnosti. Málokdo si totiž otevírá a ověřuje detaily certifikátu, kterým je SSL šifrované.
Vše začíná phishingem Pokud na podvrženou adresu uživatel skočí, pak hackeři využijí phishingový útok. K tomu stačí, aby jejich web vypadal přesně jako ten, na nějž jsme u své banky zvyklí. Na přihlašovací stránce uživatel zadá jméno a heslo, čímž hackerovi poskytne první klíč pro vstup. Ten je obratem po obdržení zadá do skutečného webového rozhraní banky, odkud majiteli na jeho mobilní telefon přijde autentifikační SMS kód. Pokud i ten uživatel zadá do podvržené stránky, má už hacker vše, co potřebuje pro přístup k bankovnímu účtu. Během chvilky se ocitne v internetovém bankovnictví uživatele, na nic nečeká a zadá příkaz k platbě. Ten je zpravidla zapotřebí také potvrdit. Proto uživateli přijde na mobil další SMS kód. Ten však v té době ještě na podvržené stránce čeká na vstup do banky, kde se mu v mezidobí zobrazí například hlášení, že probíhá ověřování údajů, ať chvilku počká. Následně se zobrazí informace o tom, že se první přihlášení nepovedlo, ať zadá druhý SMS kód, který mu byl právě odeslán. A tu už jde o kód sloužící k potvrzení provedení platby. Pokud si uživatel SMS nepročte a přehlédne tak informaci, že už nejde o vstup do banky, ale o potvrzení platby, a zadá ho do podvržené stránky, hacker ho přenese do reálného internetového bankovnictví a peníze z účtu odčerpá.
Přepisování kódů pod palbou Ani dvoufázové autentifikační zabezpečení není tedy nepřekonatelné, pokud není uživatel dostatečně obezřetný. Proto je mnohem bezpečnější používat novější typy dvoufázového ověřování, a to prostřednictvím specializovaných aplikací. V nich je riziko přepisování kódů eliminováno a autentizace se odehrává v rámci rozhraní banky automaticky. Ruční přepisování však zatím v mnoha oblíbených a hojně využívaných službách převládá. Mimo jiné i ve velmi rozšířených aplikacích, jako je Google Authenticator či Microsoft Authenticator, i v aplikacích mnoha bank. Ačkoliv musí být splněno několik podmínek a na sebe navazujících kroků, aby výše uvedené útoky fungovaly, prokazují zranitelnost ve dvoufázových identifikačních metodách založených na SMS a také to, že tyto útoky nevyžadují vysoké technické schopnosti. /PK/