Cum îți poate fi spart contul de Gmail, deși folosești cea mai sigură metodă de securizare

Articolul a apărut inițial pe Motherboard

Dacă ești un utilizator precaut, autentificarea în doi pași, cu un cod trimis pe telefon s-ar putea să nu te mai protejeze.

Hackerii pot trece de măsurile de securitate, așa cum am văzut și cu documentele NSA divulgate, despre cum hackerii ruși au atacat companiile de infrastructură a votului prezidențial din SUA. Iar un nou raport de la Amnesty International explică cum unii hackeri pot sparge în masă conturile de Gmail sau Yahoo, chiar și cele cu autentificare în doi pași (2FA).

Ei fac asta prin automatizarea procesului, cu o pagină de phishing, prin care nu numai că cer victimei parola, dar activează un cod 2FA care este trimis către telefonul țintă. Acest cod este tot phished și apoi introdus în site-ul legitim, astfel încât hacker-ul să se poate conecta și fura contul.

Deși 2FA este în general o idee bună, hackerii pot încă să phish anumite forme de securitate 2FA, cum ar fi cele care trimit un cod sau un mesaj via SMS, așa că unii utilizatori ar trebui să treacă la o metodă mai viguroasă.

„Practic, în felul ăsta, ei pot depăși orice măsură de securitate 2FA, dacă nu sunt implementați pași adiționali”, a spus într-un chat online Claudio Guarnieri, de la Amnesty.

2FA înseamnă încă un pas de autentificare în contul tău. Cu metodele principale de token 2FA, poți avea și o aplicație care îți generează codul, ca să te poți loga de pe un device necunoscut, sau, poate ceva mai comun, e să primești un mesaj text cu codul pe care apoi îl bagi în browser.

Acest tip de 2FA este excelent pentru a te proteja împotriva reutilizării parolei. Adică, dacă un hacker obține una dintre parolele tale, dintr-o încălcare a datelor și apoi încearcă parola în celelalte conturi, dacă ai activat 2FA, probabil că hackerul nu va reuși să intre în cont atât de ușor. Majoritatea hackerilor mai amatori, probabil renunță în punctul ăsta.

Dar metoda 2FA bazată pe token nu este complet sigură. E clar că, pe lângă încercarea de a fura parolele prin site-uri înșelătoare de tip phishing, hackerii pot încerca să afle și codul 2FA. Iar prin automatizarea procesului, hackerii pot să fure și să utilizeze tokenul 2FA exact ca tine, introducându-l în site-ul legitim în câteva secunde.

În ultimul caz documentat de Amnesty, cercetătorii au estimat că hackerii au atacat în 2017 și 2018 mai bine de o mie de conturi Google și Yahoo din Orientul Mijlociu și din Africa de Nord. Atacurile cel mai probabil provin din țările din Golf, și prezintă similarități cu o campanie de hacking pe care cercetătorii de la Citizen Lab au descoperit că se concentra pe dizidenții din Emiratele Arabe Unite, scrie în raportul Amnesty.

Schema de phishing începe normal, cu o pagină falsă de Gmail, care îi cere utilizatorului parola. După ce ținta introduce parola, infrastructura hackerului direcționează victima pe o altă pagina, alertând-o că s-a trimis un cod 2FA via SMS, pe numărul de telefon înregistrat în cont.

„Negreșit, numărul de telefon configurat primește un SMS, ce conține un cod valid de autentificare Google", scrie în raportul Amnesty. Pagina de phishing solicită apoi victimei să introducă codul 2FA. Unele pagini de phishing cer victimei să-i verifice numărul de telefon, în timp ce altele nu, a spus Guarnieri.

În investigația Amnesty, oamenii au descoperit cum serverele care găzduiau site-urile de phishing Gmail și Yahoo creau fișiere, ce divulgau tot procesul folosit de hackeri pentru a obține informațiile victimei și codurile 2FA. Schema practic derulează ce ar face un utilizator pe un browser web, adică URL-urile vizitate de algoritmul hackerilor se înregistrează în istoricul browserului. Deși URL-urile din raport relatează acostarea unui cont de Yahoo, Guarnieri a spus pentru Motherboard, că procesul e la fel și pentru Gmail.

Nu-ți imagina vreun hacker care stă la computer și așteaptă ca victima să-și introducă informațiile. Nimeni nu sare repede să bage codul 2FA valid. În schimb, tot procesul este automatizat, cu servere conectate, gata oricând să se apuce de treabă.

Pe fundal, serverele hackerilor preiau informațiile victimei, intră în serviciul legitim de email, care apoi returnează o cerere pentru un cod 2FA (serviciul real), apoi trimite codul pe telefonul utilizatorului. Serverul solicită apoi codul din partea utilizatorului, pe care hackerul îl reîntoarce la serviciul real ca să se poată conecta, toate la aceeași viteză ca o logare obișnuită. Instrumentul hackerilor creează automat o aplicație de parole, o parolă separată ce-i permite accesul aplicațiilor intermediare la contul de e-mail, astfel încât hackerii pot menține accesul în contul utilizatorului.

Deși exemplele pe care Amnesty le-a descoperit erau direcționate către codurile trimise via SMS, Guarnieri a spus că abordarea are potențialul să fie folosită și pentru aplicațiile de coduri 2FA, cum e și Google Authenticator.

Într-un alt caz, Amnesty declară că a descoperit că infrastructura hackerilor preia automat un cont Yahoo și apoi îl transferă către Gmail, folosind un serviciu legitim de migrare numit ShuttleCloud. Acest lucru „permite atacatorilor să genereze automat și imediat o clonă completă a contului Yahoo al victimei, sub un cont Gmail separat sub controlul lor", scrie în raport.

Într-o anchetă separată, centrată pe grupul de hacking legat de guvernul iranian, cunoscut sub numele de Charming Kitten, firma Certfa de securitate cibernetică a informat despre modul în care o altă campanie a încercat să fure token-urile 2FA. Hackerii „direcționează victimele pe pagina falsă de autentificare Google, unde utilizatorii o introduc în detaliile de acreditare, inclusiv autentificarea cu doi factori", scrie în raport.

O alternativă la acest 2FA vulnerabil, după cum menționează raportul Amnesty, este ca oamenii ce prezintă riscuri să folosească un device hardware de generare token-uri. Acesta este un dispozitiv mic care se conectează de obicei la computer prin USB și autentifică astfel identitatea. Yubico vinde o varietate de token-uri, intitulate Yubikeys, iar propriul program de protecție avansată de la Google, care blochează un cont din utilizarea unor aplicații de la terțe părți, are propriul său token hardware. (Când a fost contactat pentru comentarii, Google a indicat acest program de protecție avansată, precum și Google prompt, o altă formă de 2FA.)

„Mediul de risc continuă să evolueze și noi suntem dedicați să evoluăm cot la cot, pentru a proteja securitatea utilizatorilor noștri. În 2015, am lansat Yahoo Account Key, care nu se folosește de SMS, și încurajăm utilizatorii să adopte această formă de autentificare”, a spus pentru Motherboard, un purtător de cuvânt de la Yahoo.

În cadrul campaniei de phishing investigate, Guarnieri a spus: „această configurație este imperfectă, dar lecția este fundamental că, cu suficientă automatizare și suficientă grijă, aceste mecanisme pot fi ocolite și nu reprezintă o capabilitate rezervată doar utilizatorilor sofisticați.“