Weryfikację dwuetapową też można obejść. Złodzieje i na to znaleźli sposób

Powszechna opinia głosi, że dodanie uwierzytelniania dwuskładnikowego (2FA) ochroni przed większością oszustw phishingowych, ale nowa fala zautomatyzowanych ataków na użytkowników Gmaila i Yahoo Maila uświadamia, jak błędna jest to teza. Podobnie jak w przypadku wszystkich środków bezpieczeństwa, 2FA jest tak efektywne, jak jego najsłabsze ogniwo – człowiek. A tego relatywnie łatwo można zmanipulować.

Raport pochodzi od Amnesty International, które zazwyczaj nie interesuje się cyberbezpieczeństwem. Jednak w tym przypadku ataki skierowane są głównie przeciw aktywistom i korespondentom prasowym na Bliskim Wschodzie i w Afryce Północnej, co już godzi bezpośrednio w interes organizacji. Amnesty podaje, że wykryto kilka kampanii phishingowych, które z dużą dozą prawdopodobieństwa są wzajemnie powiązane.

W najbardziej wyrafinowanej wersji złodzieje zaatakowali kilkaset kont Gmail i Yahoo Mail tak, aby ominąć ewentualne zabezpieczenie dwuskładnikowe i uzyskać pełen dostęp do konta. W e-mailach z 2017 i 2018 r. odnaleziono sfabrykowane alerty bezpieczeństwa, nakłaniające do zmiany hasła. Przekierowywały one do fałszywej strony, która zbierała dane do logowania. I nie byłoby to niczym szczególnym, gdyby nie fakt, że owa strona uwzględnia użycie 2FA.

Kiedy tylko ofiara poda nazwę użytkownika i hasło, witryna zdalnie loguje się do konta. Jeśli to ma włączone zabezpieczenie dwuetapowe, strona żąda kodu SMS. To oczywiście standardowe zachowanie w przypadku logowania oficjalną ścieżką, tyle że złośliwa witryna potrafi wykorzystać uzyskany kod do zdalnej autoryzacji przed upływem terminu ważności tokena. Następnie użytkownik proszony jest o zmianę hasła, a napastnik zapisuje je do późniejszego wykorzystania.

Pozostałe kampanie wykorzystywały zbliżoną taktykę, ale skupione były wokół użytkowników szyfrowanych usług pocztowych, takich jak Protonmail i Tutanota. W obu przypadkach złodzieje zarejestrowali domeny kreowane na autentyczne, z fałszywymi stronami logowania. Na szczęście te domeny zostały już zamknięte i nie stanowią zagrożenia.

O ataki Amnesty International podejrzewa państwa Zatoki Perskiej, motywowane chęcią zebrania informacji o dysydentach i inicjatorach protestów. Abstrahując od przestępców i ich motywów, warto natomiast wyciągnąć z tej sytuacji pewien wniosek: weryfikacja dwuskładnikowa nie czyni żadnego konta w 100 proc. bezpiecznym i odpornym na phishing. W dalszym ciągu należy bardzo uważać, gdzie i komu podaje się swoje dane do logowania.