A kétlépcsős azonosítás (two-factor authentication, 2FA) alapvetően jó dolog: biztonságosabbá teszi az internethasználatot. Általában úgy működik, hogy a jelszó megadása után meg kell adnunk még egy azonosítót – például egy, a telefonunkra küldött kódot. Így működik a netbankok többsége is. Ezzel a módszerrel megelőzhető, hogy illetéktelenek férjenek hozzá a fiókjainkhoz, még ha meg is szerezték a jelszavunkat.

De a hekkerek ravaszsága mindig nagyobb, mint a felhasználók naivitása.

Alex MacCaw, a Clearbit társalapítója a héten megosztott egy fotót a Twitteren; ezen az látható, ahogy valaki megpróbálja belőle kiszedni a kétlépcsős megerősítéshez szükséges Google-jelszavát.

Be warned, there's a nasty Google 2 factor auth attack going around. pic.twitter.com/c9b9Fxc0ZC

— Alex MacCaw (@maccaw) 2016. június 4.

Valószínűleg nem ő az egyetlen, akit megpróbáltak csőbe húzni. De mi is történik pontosan?

1. A támadó egy üzenetet küld a felhasználónak, és úgy tesz, mintha annál a cégnél dolgozna, ahol a felhasználónak saját fiókja van.
2. Arra hivatkoznak, hogy gyanús fióktevékenységet (suspicious activity) észleltek, és kérik a kétlépcsős azonosításhoz szükséges kódot, amivel megelőzhető, hogy feltörjék a fiókját.
3. Az áldozat, aki pont ettől tart, kapásból megadja a 2FA-kódot, és megnyugszik, hogy megelőzte a bajt.
4. Valójában éppen ezzel hozta magára a bajt.
5. A támadók ezután megadják a ravaszul megszerzett 2FA-kódot, és máris hozzáfértek a felhasználók fiókjához.
6. Esetenként még az azonosítójukat is hamisítják (spoofing), hogy úgy tűnjön, valóban egy létező cégtől, például a Google-től vagy a Microsofttól jelentkeztek be.

Ehhez a művelethez persze még a felhasználó jelszavára is szükség van. Ugyanakkor több módszer van, amivel ezt könnyen megszerezhetik: nemrég például attól volt hangos az internet, hogy egy hekker(csoport) nagyjából 800 millió jelszót lopott el közösségi oldalaktól. 

Hogy kerülhetik el a hasonló eseteket? Először is válasszanak nehezen kitalálható, de könnyen megjegyezhető jelszót; ha szükséges, használjanak jelszókezelő szoftvereket. És soha ne adják meg a 2FA-kódot, még akkor se, ha úgy tűnik, legitim forrásból kérik.