Mnoho služeb využívá v dnešní době pro lepší zabezpečení uživatelských účtů dvoufaktorovou autentizaci (Two Factor Authentication, 2FA). To zahrnuje ověření pomocí dvou faktoru, většinou hesla a kódu odeslaného přes SMS nebo e-mail. Spojení dvou faktorů pak poskytuje lepší zabezpečení, než v případě pouze použití hesla.
Nicméně i dvoufaktorová autentizace je zranitelná vůči útokům a zneužití ze strany hackerů, zejména pokud hackeři k napadení uživatelských účtů využívají různé techniky sociálního inženýrství. Proto je třeba mít určité povědomí o tom, jak techniky založené sociálním inženýrství fungují a jak jim nejlépe čelit.
Co je sociální inženýrství?
Sociální inženýrství využívá lidské chování a psychologii. Díky využívání emocionálních spouštěčů a dalších psychologických taktik hackeři přesvědčují uživatele, aby jim poskytli své osobní informace a další údaje. Jelikož je sociálního inženýrství založeno na lidské psychologii, neexistuje žádný způsob, jak u účinně čelit. Neexistuje prakticky žádný software ani nástroj, který by účinně blokoval útoky založené na sociálním inženýrství.
Pravdou je, že první a jedinou obrannou linií proti útokům sociálního inženýrství jsou samotní lidé. Pokud bude uživatel vědět, co je sociální inženýrství a jak funguje, je mnohem větší pravděpodobnost, že takové útoky bude schopen včas identifikovat. Prvním krokem v boji proti sociálnímu inženýrství je tedy pochopit, jak funguje. Níže jsou uvedeny některé z nejběžnějších scénářů, které hackeři využívají při útocích na dvoufaktorovou autentizaci.
Scénář 1: Hacker zná vaše uživatelské jméno a heslo
Úniky dat jsou v současném digitálním světě běžným jevem, a to se týká i velkých společností a online prodejců. Během takových úniků dat je na stránkách hackerů uloženo velké množství uživatelských dat, včetně přihlašovacích uživatelských jmen a hesel. K těmto datům má pak přístup jakýkoliv hacker a může se tak dostat k vašim přihlašovacím údajům. V případě dvoufaktorové autentizace se však hacker nemůže připojit pouze pomocí uživatelského jména a hesla, takže využívá sociální inženýrství, aby získal kód pro druhý krok ověřování.
Během útoku zašle hacker uživateli varovnou zprávu, tj. něco v tom smyslu, že požadavek na přístup k vašemu uživatelskému účtu byl odeslán z podezřelé adresy IP a pokud vám tato IP adresa nepatří, odpovězte ověřovacím kódem odeslaným na vaše číslo. Mezitím hacker tajně použije vaše uživatelské jméno a heslo pro přihlášení ke službě a služba pak odešle ověřovací kód na vaše číslo.
Pokud uživatel odpoví na falešnou varovnou zprávu ověřovacím kódem, hacker ji může použít k obejití druhého kroku dvoufaktorové autentizace. Jakmile je hacker přihlášen, může také odcizit soubory cookie relace a má plný, neautorizovaný přístup k vašemu uživatelskému účtu.
Scénář 2: Hackeři nemají žádná uživatelská data
Nyní si vezmeme případ, kdy hacker nezná vaše uživatelské jméno, heslo, telefonní číslo ani ověřovací kód. Přesto může hacker díky sociálnímu inženýrství všechny tyto údaje získat. Tento typ útoku je založen na využití phishingové webové stránky, tj. falešné webové stránky, je téměř identická s originální webovou stránkou. Tyto falešné webové stránky využívají adresy URL, které jsou velmi podobné původní webovým stránkám, např. Gmaiil.com namísto Gmail.com nebo LunkedIn.com místo LinkedIn.com.
Hacker nejprve vytvoří přesvědčivý e-mail, který vypadá, že pochází od někoho, koho znáte, nebo ze samotné služby. Po kliknutí na odkaz se pak dostanete na falešné webové stránky. Na falešných webových stránkách pak dostanete požadavek na své uživatelské jméno a heslo pro přihlášení. Když tyto údaje poskytnete, hacker je pak může použít k přihlášení na skutečné přihlašovací stránce. Skutečné webové stránky odešlou na vaše číslo ověřovací kód. Když zadáte tento kód na falešné přihlašovací stránky, hacker dostane kód a může jej použít k dokončení přihlášení na skutečné webové stránce.
Tímto způsobem je hacker schopen obejít dvoufaktorovou autentizaci a získat přístup k uživatelskému účtu na webové stránce.
Jak se chránit před metodami sociálního inženýrství?
Hackeři mohou využít metody sociálního inženýrství k obejití dvoufaktorové autentizace, takže je pojďme podívat na několik nástrojů a tipů, jak takovým útokům předcházet.
Alternativní formou dvoufaktorové autentizace jsou bezpečnostní klíče. Jedná se o fyzické klíče, které obsahují hardwarové čipy s jedním nebo více hesly. Tato hesla jsou službou rozpoznána a jsou akceptována jako legitimní druhý faktor autentizace. Bezpečnostní klíče mají také vestavěný mechanismus pro určení, zda je webová stránka legitimní nebo ne. Tímto způsobem tak lze předcházet přihlášení na phishingové webové stránky a falešné přihlašovací stránky, kde hackeři získávají přihlašovací údaje uživatelů.
Většina metod sociálního inženýrství je založena na phishingových útocích a krádežích dat, aby hacker získal podrobné informace o uživateli. Kvalitní VPN šifruje datový provoz a zajišťuje bezpečné relace procházení po webových stránkách. VPN je proto efektivní způsob, jak předcházet útokům phishingu a sociálního inženýrství které používají HTTPS pro falešné weby. Je také důležité investovat do renomované VPN, abyste dosáhli dobré ochrany před sociálním inženýrstvím. Důvodem je, že některé VPN, např. Avast Secureline, mohou obsahovat vážné chyby.
Snad nejdůležitějším způsobem, jak čelit sociálnímu inženýrství, je mít povědomí o co v sociálním inženýrství jde. Uživatelé, kteří vědí, co sociální inženýrství obnáší a jak funguje, se mohou obecně mnohem efektivněji vyhnout útokům pomocí metod sociálního inženýrství. Organizace by měly investovat do povědomí o sociálním inženýrství a vzdělávat své zaměstnance. Simulační hacky a simulované scénáře jsou skvělým způsobem, jak pomoci lidem pochopit, jak sociální inženýrství funguje.
Zdroj: RCRWirelessNews
