Principala măsură de securitate pe care experții în securitate cibernetică o recomandă utilizatorilor este folosirea autentificării în doi pași. E bine să știi, însă, că metoda nu este infailibilă, mai ales că, recent, un grup de hackeri a demonstrat că poate să își facă treaba chiar dacă acest nivel suplimentar de securitate există.Potrivit Amnesty International, hackerii au reușit să spargă conturile de Gmail și Yahoo ale unor jurnaliști și activiști din Nordul Africii și Orientul Mijlociu. Cu ajutorul unor mailuri de phishing, atacatorii urmăreau să își convingă victimele să le dea acces la conturile lor de Google și Yahoo, chiar dacă aveau activată autentificarea în doi pași, scrie playtech.ro.
Mailurile arătau ca niște alerte de securitate din partea celor două companii și avertizau în legătură cu o posibilă breșă de date. Utilizatorii erau direcționați către o pagină care părea legitimă și îi îndemna să-și schimbe parola. Scopul era să obțină atât parolele, cât și codul unic din procesul 2FA.
Hackerii au reușit să facă asta prin automatizarea procesului de phishing: sistemul lansa engine-ul Chrome și intercepta toate datele de autentificare dintre utilizator și serviciul vizat, inclusiv codurile de verificare în doi pași, trimise prin SMS. Ei puteau astfel să le folosească înainte de expirarea termenului limită.
Se știe deja că SMS-ul nu este cea mai bună metodă de a transmite parolele unice în cazul autentificării în doi pași. Este destul de ușor de interceptat, fie prin infectarea smartphone-ului cu un troian, fie prin intermediul protocolului SS7 de transmitere a mesajelor, din cauza unei erori sau a unui atac direcționat.
Ce alte metode sigure de securizare a conturilor există
Aplicațiile de autentificare în doi pași pot fi o alegere mai bună decât SMS-ul. Poți folosi, de exemplu, Google Authenticator, Duo Mobile, FreeOTP sau Microsoft Authenticator, care funcționează atât pe Android, cât și pe iOS. Aplicațiile generează un cod unic nou la fiecare 30 de secunde și pot fi folosite pentru toate serviciile care oferă această opțiune.Există însă și aplicații de autentificare care funcționează numai pentru un anumit serviciu – o practică întâlnită mai ales în domeniul jocurilor video, dar și la Adobe, care are Adobe Authenticator.Citește mai departe pe playtech.ro.
