Mailurile arătau ca niște alerte de securitate din partea celor două companii și avertizau în legătură cu o posibilă breșă de date. Utilizatorii erau direcționați către o pagină care părea legitimă și îi îndemna să-și schimbe parola. Scopul era să obțină atât parolele, cât și codul unic din procesul 2FA.

Hackerii au reușit să facă asta prin automatizarea procesului de phishing: sistemul lansa engine-ul Chrome și intercepta toate datele de autentificare dintre utilizator și serviciul vizat, inclusiv codurile de verificare în doi pași, trimise prin SMS. Ei puteau astfel să le folosească înainte de expirarea termenului limită.

Se știe deja că SMS-ul nu este cea mai bună metodă de a transmite parolele unice în cazul autentificării în doi pași. Este destul de ușor de interceptat, fie prin infectarea smartphone-ului cu un troian, fie prin intermediul protocolului SS7 de transmitere a mesajelor, din cauza unei erori sau a unui atac direcționat.

Ce alte metode sigure de securizare a conturilor există

Aplicațiile de autentificare în doi pași pot fi o alegere mai bună decât SMS-ul. Poți folosi, de exemplu, Google Authenticator, Duo Mobile, FreeOTP sau Microsoft Authenticator, care funcționează atât pe Android, cât și pe iOS. Aplicațiile generează un cod unic nou la fiecare 30 de secunde și pot fi folosite pentru toate serviciile care oferă această opțiune.
Există însă și aplicații de autentificare care funcționează numai pentru un anumit serviciu – o practică întâlnită mai ales în domeniul jocurilor video, dar și la Adobe, care are Adobe Authenticator.
Citește mai departe pe playtech.ro.