Взлом 2FA?
Вот как должна работать двухфакторная аутентификация: вы входите в свою банковскую учетную запись или почтовый ящик, и после правильного ввода пароля вам предлагается подтвердить вход в систему с помощью приложения на вашем мобильном телефоне, одноразовый код отправляется на телефон. Это код предназначенный для того, чтобы гарантировать, что даже если человек, пытающийся войти в систему, на самом деле не вы, он все равно не сможет получить доступ к вашим учетным записям без доступа к вашему телефону.
Вам может показаться, что двухфакторная аутентификация слегка раздражает, и есть вероятность, что вы даже не заметите дополнительный шаг в процессе входа в систему. Несмотря на это, вы, вероятно, чувствуете определенное утешение в мысли, что, по крайней мере, ваши деньги или ваш почтовый ящик хорошо защищены. Но, как и многие другие общепринятые передовые практики в области компьютерной безопасности, мы на самом деле очень мало знаем о том, насколько хорошо работает двухфакторная аутентификация.
В декабре Amnesty International опубликовала отчет, описывающий простую в применении методику, используемую для взлома учетных записей, защищенных двухфакторной аутентификацией. Хакеры, которых исследовала Amnesty International, нацеленные на учетные записи, принадлежащие частным лицам на Ближнем Востоке и в Северной Африке, создали фишинговые страницы, на которых регистрировались не только пароли пользователей, но и одноразовые коды аутентификации, генерируемые их двухфакторными службами.
Создание фишинговых веб-сайтов, которые выглядят как страницы входа в систему для известных веб-сервисов, являются распространенным способом кражи паролей в Интернете. Вот как это работает: кто-то разрабатывает веб-сайт, который выглядит почти так же, как веб-сайт Bank of America, а затем отправляет вам электронное письмо с сообщением о том, что он из Bank of America, с предупреждением о том, что срок действия вашей учетной записи скоро истечет или ваша информация должна быть обновляется и направляет вас на фальшивый сайт, где вы считаете, что заходите на свой банковский счет, а вместо этого просто вводите свой пароль на веб-сайт, принадлежащий мошенникам.
Этот тип фишинга - это именно та угроза, от которой вас защитит двухфакторная аутентификация. В отличие от брутфорса, вынуждая людей разрабатывать более сложные или более длинные пароли. Таким образом, требования к сложности пароля, которые годами применялись в качестве обычной (и раздражающей) передовой практики на каждом рабочем месте, все чаще дополняются двухфакторной аутентификацией, чтобы защитить вас как от словарных атак, так и от фишинговых атак.
Но оказывается, что одноразовые коды, сгенерированные на смартфонах людей или отправленные с помощью текстовых сообщений и электронной почты, также могут быть фишинговыми. Если вы хакер, все, что вам нужно, это добавить компонент на ваш поддельный веб-сайт условного банкка, чтобы после того, как вы попросите кого-то ввести его пароль, вы попытаетесь войти в его реальную учетную запись банка, используя только что предоставленный пароль вызывая предупреждение второго фактора, которое его не тревожит, потому что он думает, что тоже входит в банк. Затем на фальшивом фишинговом сайте вы предлагаете ему ввести свой второй фактор и использовать его для завершения входа в систему.
Активность в отчете Amnesty International - даже не первый случай, когда двухфакторная аутентификация была скомпрометирована таким образом. В 2014 году Ф.Б.И. Специальный агент Эллиот Петерсон рассказал, как вредоносное ПО, распространяемое ботнетом GameOver Zeus, может таким же образом скомпрометировать двухфакторную аутентификацию, защищая банковские счета.
Тот факт, что двухфакторная аутентификация может быть скомпрометирована с помощью довольно простой и широко используемой тактики, не является основанием для прекращения ее использования. В конце концов, ни один инструмент безопасности не идеален. Пока это значительно снижает вероятность взлома аккаунта, двухфакторная аутентификация все еще стоит использовать. Но мы мало знаем о том, насколько двухфакторная аутентификация действительно помогает защитить ваши учетные записи.
С 2011 года Google предлагает опциональную двухэтапную систему проверки пользователям Gmail, но никогда не публиковала никаких данных о ее эффективности в борьбе с компрометациями аккаунта. Фактически, в прошлом году Google переключил всех своих сотрудников с использования приложения Google Authenticator для двухфакторной аутентификации на физические устройства с ключом безопасности, которые необходимо вставить в порт компьютера для завершения входа в систему. После того, как в июле прошлого года Google объявил об этом, ни один из его аккаунтов сотрудников не был взломан. Похоже, что в объявлении говорится, что безопасность, обеспечиваемая приложением, не была сочтена компанией достаточной для ее внутренних учетных записей, хотя это то, на что полагаются многие пользователи Google. Должны ли мы все использовать физические ключи безопасности? Насколько менее эффективно приложение Google Authenticator? Мы все еще не знаем (хотя, по-видимому, Google знает).