Vigyázzon, éppen lopják a jelszavát!
További Tech cikkek
- Olyat hibát produkál a Windows, hogy garantáltan mindenki kiugrik a székéből
- Könnyen megeshet, hogy a Google kénytelen lesz eladni a Chrome-ot
- A Huawei hivatalosan is bejelentette, előrendelhető a Mate 70
- Lesöpörheti Elon Musk X-ét a Bluesky, már a Google is relevánsabbnak találja
- Ezek a leggyakrabban használt jelszavak – érdemes változtatni, ha ön is használja valamelyiket
A kétlépcsős azonosítás (two-factor authentication, 2FA) alapvetően jó dolog: biztonságosabbá teszi az internethasználatot. Általában úgy működik, hogy a jelszó megadása után meg kell adnunk még egy azonosítót – például egy, a telefonunkra küldött kódot. Így működik a netbankok többsége is. Ezzel a módszerrel megelőzhető, hogy illetéktelenek férjenek hozzá a fiókjainkhoz, még ha meg is szerezték a jelszavunkat.
De a hekkerek ravaszsága mindig nagyobb, mint a felhasználók naivitása.
Alex MacCaw, a Clearbit társalapítója a héten megosztott egy fotót a Twitteren; ezen az látható, ahogy valaki megpróbálja belőle kiszedni a kétlépcsős megerősítéshez szükséges Google-jelszavát.
Be warned, there's a nasty Google 2 factor auth attack going around. pic.twitter.com/c9b9Fxc0ZC
— Alex MacCaw (@maccaw) 2016. június 4.
Valószínűleg nem ő az egyetlen, akit megpróbáltak csőbe húzni. De mi is történik pontosan?
- A támadó egy üzenetet küld a felhasználónak, és úgy tesz, mintha annál a cégnél dolgozna, ahol a felhasználónak saját fiókja van.
- Arra hivatkoznak, hogy gyanús fióktevékenységet (suspicious activity) észleltek, és kérik a kétlépcsős azonosításhoz szükséges kódot, amivel megelőzhető, hogy feltörjék a fiókját.
- Az áldozat, aki pont ettől tart, kapásból megadja a 2FA-kódot, és megnyugszik, hogy megelőzte a bajt.
- Valójában éppen ezzel hozta magára a bajt.
- A támadók ezután megadják a ravaszul megszerzett 2FA-kódot, és máris hozzáfértek a felhasználók fiókjához.
- Esetenként még az azonosítójukat is hamisítják (spoofing), hogy úgy tűnjön, valóban egy létező cégtől, például a Google-től vagy a Microsofttól jelentkeztek be.
Ehhez a művelethez persze még a felhasználó jelszavára is szükség van. Ugyanakkor több módszer van, amivel ezt könnyen megszerezhetik: nemrég például attól volt hangos az internet, hogy egy hekker(csoport) nagyjából 800 millió jelszót lopott el közösségi oldalaktól.
Hogy kerülhetik el a hasonló eseteket? Először is válasszanak nehezen kitalálható, de könnyen megjegyezhető jelszót; ha szükséges, használjanak jelszókezelő szoftvereket. És soha ne adják meg a 2FA-kódot, még akkor se, ha úgy tűnik, legitim forrásból kérik.