Iráni kormányzati hekkerek adathalász támadásokkal amerikai kormányzat tisztviselők, aktivisták és újságírók emailfiókját törték fel. Az akció különlegessége, hogy a támadóknak a kéttényezős hitelesítést is sikerült megkerülniük – írja az Ars Technica.
A kéttényezős hitelesítés lényege, hogy a bejelentkezéskor beírt jelszó mellett egy második tényezőt is kér a szolgáltatás, mielőtt beenged. Ez leggyakrabban egy eldobható számkód, amelyet vagy sms-ben kap meg a felhasználó, vagy például egy erre szolgáló mobilapp generálja. A dolog előnye, hogy hiába lopja el egy hekker a jelszavunkat, csak azzal nem tud belépni például az emailfiókunkba.
Az sms-es változatról már sokszor kiderült, hogy sokkal sebezhetőbb, mert könnyebb út közben elcsípni az üzenetet a kóddal, mint ha azt egy app állítaná elő. Ennek ellenére még ma is sok szolgáltatásnál elérhető az sms-es módszer. A most azonosított támadás egy újabb érv, hogy miért érdemes másik opciót választani, ha elérhető.
A Certfa Lab kutatói által azonosított iráni módszer lényege a következő:
A kutatók azt biztosan tudják, hogy az sms-es módszert sikerült így kijátszaniuk a hekkereknek. Arról nem tudnak, hogy az appot is sikerült-e hasonló módon megkerülni, de ennek elméletileg semmi akadálya. Ez csak annyival lenne nehezebb, hogy az ilyen appok kódjai gyorsabban, 30 másodperc alatt lejárnak, így könnyebb kicsúszni az időből.
Az egyetlen biztosan ellenálló módszer viszont a hardveres kulcs, például a legnépszerűbb ilyen, a Yubikey, amely egy usb-csatlakozóba dugható kis kütyü. Mivel ennél nincs beírandó kód, ellopni sincs mit, ezért csak a fizikai kulcs való világbeli ellopásával lehet megkerülni. A másik ellenszer, ha mindig nagyon figyel, hova írja be az adatait, hogy valóban csak ott adjon meg bármit, ahol tényleg szeretne.