Pre nekih pet godina Microsoft, Google i mnogi drugi su počeli da propagiraju dvofaktorsku autentifikaciju (2FA) kao metod koji će nas spasti od nesigurnih lozinki i tako učiniti rad sa računarima bitno bezbednijim. Poverovali smo im i počeli da koristimo ovaj metod. „Loši momci“ im nisu poverovali, a poslednji meseci pokazuju da 2FA i nije tako sigurna…
Jedna beogradska firma je u zadnjem trenutku izbegla gubitak od više desetina hiljada evra koje je trebalo da uplati partneru sa kojim dugo posluje, ali koji je navodno promenio broj računa. Srećom pa je neko ipak pozvao partnera radi finalne provere. Ispostavilo se da su napadači dobili potpun pristup Microsoft 365 nalogu firme, imali uvid u kompletnu komunikaciju i slali naoko autentične e-mail-ove… i tako barem tri meseca. Gradili su sliku o tokovima novca, kako bi se u pogodnom momentu uključili i poslali nove instrukcije za plaćanje. Da ne bi pobudili sumnju drugih kolega iz firme, registrovali su (i platili Bitcoin-ima) domen tako da se od pravog razlikuje za jedno slovo. A svuda je korišćena 2FA…
Dvofaktorska provera zvuči kao neprobojan oklop. Nakon što na PC-ju unesete korisničko ime i lozinku, potrebno je da pokrenete Authenticator na smartfonu i potvrdite da ste to vi. Ako računar nije kompromitovan, ova procedura zvuči veoma bezbedno, pa se postavlja pitanje kako ju je neko izigrao?
Teško je očekivati od korisnika da se maši smartfona kad god proverava e-mail. Zbog toga se nakon uspešne prijave generiše token koji je dovoljan za pristup pošti: kroz 2FA na konkretnom računaru prolazite samo jednom. Dakle, ko ima token, imaće i pristup svim podacima. Taj token dođe nešto kao lozinka, samo što je komplikovan i niko ga ne može napraviti… ali ga može ukrasti. Kako? Hakerima je najjednostavnije da podmetnu „posrednički“ računar. Na njemu se nalazi posebno pripremljen sistem koji simulira prijavu, šalje te podatke pravom serveru i… preuzima token. Nakon toga haker ima pristup pošti korisnika.