Oszustwa w sieci ewoluują szybciej, niż zdążymy się do nich przyzwyczaić. Do niedawna podstawą bezpieczeństwa było silne hasło i weryfikacja dwuetapowa. Oczywiście nadal jest! Dzisiaj cyberprzestępcy znaleźli sposób, by przejąć Twoje konta w popularnych serwisach, w ogóle nie pytając o dane logowania. Ta innowacyjna i niezwykle groźna metoda to Device Code Phishing.
Zupełnie inne podejście do kradzieży danych
Zazwyczaj atak phishingowy polega na zwabieniu ofiary na fałszywą stronę, która do złudzenia przypomina panel logowania. Tym razem jest zupełnie inaczej. Złodzieje wykorzystują całkowicie legalny, uniwersalny mechanizm (znany jako standard OAuth 2.0). Został on stworzony dla urządzeń bez wygodnej klawiatury, takich jak telewizory Smart TV, konsole do gier czy systemy multimedialne. Korzystają z niego na co dzień najwięksi giganci technologiczni, tacy jak Google, Amazon, GitHub, a także liczne systemy korporacyjne.
Wygląda to następująco: otrzymujesz wiadomość e-mail, która udaje pilne powiadomienie z pracy lub alert bezpieczeństwa. W treści znajduje się link prowadzący do prawdziwej strony logowania danego dostawcy (np. google.com/device lub oficjalnego portalu Twojej firmy). Adres URL się zgadza, a certyfikat bezpieczeństwa jest nienaruszony. Oprócz linku, w wiadomości widzisz krótki kod z prośbą o jego wpisanie w celu „weryfikacji tożsamości„.
Kiedy wprowadzisz ten ciąg znaków na oficjalnej stronie, tak naprawdę autoryzujesz logowanie na urządzeniu hakera. W rezultacie dajesz mu pełen dostęp do swojego konta, wierząc naiwnie, że po prostu potwierdzasz własną tożsamość.
Dlaczego weryfikacja dwuetapowa (MFA) zawodzi w tym przypadku?
Przede wszystkim, ten rodzaj ataku bez problemu usypia czujność tradycyjnych zabezpieczeń. Ponieważ cała procedura odbywa się na oficjalnych serwerach zaufanego dostawcy usługi, system bezpieczeństwa traktuje to jako w pełni legalne logowanie.
Może Cię zainteresować: Jak Nie Dać Się Złapać na Phishing? Praktyczny Test od Google
Co więcej, nawet jeśli masz aktywne uwierzytelnianie wieloskładnikowe (MFA), to w trakcie procedury wpisywania kodu samodzielnie zatwierdzasz operację na swoim smartfonie. Cyberprzestępca nie musi znać Twojego hasła ani przechwytywać SMS-a weryfikacyjnego. Otrzymuje token autoryzacyjny OAuth, który daje mu dostęp do konta dokładnie tak, jakby zalogował się legalnie – do Twojej prywatnej skrzynki pocztowej, chmury z plikami czy firmowych systemów.
Jak zablokować to oszustwo i chronić swoje dane?
Na szczęście skuteczna obrona przed tym zaawansowanym atakiem sprowadza się do wyrobienia w sobie jednego, bardzo prostego nawyku. Złota zasada brzmi: nigdy nie wpisuj na żadnej stronie kodów urządzeń, których sam przed chwilą nie wygenerowałeś na własnym telewizorze, konsoli czy innym sprzęcie.
Zatem, jeśli dostajesz maila, wiadomość na komunikatorze lub SMS-a z gotowym ciągiem znaków do autoryzacji, to w zdecydowanej większości przypadków jest to próba wyłudzenia dostępu. Zawsze weryfikuj niespodziewane i nietypowe prośby. Zadzwoń do osoby, która rzekomo wymaga od Ciebie pilnego zalogowania się, i po prostu zapytaj, czy faktycznie wysłała taką wiadomość.
