Shop menü

IRÁNI HACKEREK JUTHATTAK BE NÉHÁNY YAHOO MAIL ÉS GMAIL FIÓKBA

A támadás alapjául adathalász leveleket és az eredetire megszólalásig hasonlító hamis oldalakat használtak.
Víg Ferenc (J.o.k.e.r)
Víg Ferenc (J.o.k.e.r)
Iráni hackerek juthattak be néhány Yahoo Mail és GMail fiókba

Az elmúlt hetekben fura adathalász akciót indítottak iráni hackerek, amelynek keretén belül amerikai kormányzati tisztségviselőket, újságírókat és aktivistákat vettek célba. A támadás az említettek GMail és Yahoo Mail felhasználói fiókjai ellen irányult – még a kétlépcsős hitelesítést is sikerült kijátszaniuk a támadóknak, ehhez pedig elég volt némi kreativitás is. Valamint az, hogy a célszemélyek nem voltak elég gyanakvóak...

Hamis oldalakkal a kétlépcsős hitelesítés ellen

Ebben az esetben a kétlépcsős hitelesítés kevésbé biztonságos változatát, az SMS alapú megoldást vették célba, amelynek lényege, hogy a felhasználói jelszó megadása után egy egyszer használatos kódot küld a rendszer a regisztrált mobilra. A támadás alapját adathalász levelek képezték, amelyek rejtett beágyazott képet is tartalmaznak – erre azért volt szükség, hogy a támadók azonnal értesüljenek arról, ha a címzett megnyitotta a levelet. A levelek linkjei hamis GMail vagy Yahoo Mail oldalakra vezettek, ahol az áldozatok gyanútlanul beírták felhasználónevüket és jelszavukat, ezzel párhuzamosan azonban a támadók – vagy az általuk készített szkriptek – is működésbe léptek, és a megszerzett adatokat rögtön begépelték a valódi e-mail szolgáltatások megfelelő mezőibe. Mikor ez megtörtént, a célszemély megkapta az SMS alapú hitelesítő kódot, amit szintén a hamisított oldalon írt be, ez így a támadókhoz jutott, akik innentől hozzá is fértek a megcélozott fiókhoz.

Galéria megnyitása
A szokatlan támadásformáról a Certfa Lab kutatói számoltak be. Szerintük ezzel a módszerrel nem csak az SMS alapú, hanem az egyéb 2FA módszerek is hatástalaníthatók, például a Google Authenticator alkalmazás által generált kódok, és az egy érintéssel történő hitelesítésre támaszkodó alkalmazások is, mint például a Duo Security. A kutatók azt persze nem tudták megerősíteni, hogy utóbbi védelmeket is kijátszották-e a támadók, abban azonban biztosak, hogy az SMS alapú kétlépcsős hitelesítéssel történt ilyesmi – erről persze eddig is tudtuk, hogy nem teljesen biztonságos. Elméletben a kódgeneráló appokat is ki lehet így játszani, hiszen a kódokat ott is manuálisan írjuk be, vagyis manuálisan hagyjuk jóvá a belépést – ha előzőleg hamisított oldalon írtuk be felhasználónevünket és jelszavunkat, akkor a fentebb említett módszert alkalmazva ugyanúgy sikerrel járhatnak a támadók, mint az SMS alapú hitelesítésnél. Annyival nehezebb a dolguk, ha az app alapú kódokat szeretnék felhasználni, hogy ezeknél jellemzően csak 30-60 másodperc egy-egy ideiglenes kódsorozat élettartama, vagyis gyorsan cselekedniük kell. Az érintéses jóváhagyással működő hitelesítés esetében ez a módszer jó eséllyel nem járható.

A támadások esetében a GMailt érintő kamuoldalak a sites.google.com oldalon kaptak helyet, az adathalász e-mailek pedig a notifications.mailservices@gmail.com címről érkeztek, hogy az esetleges felhasználói gyanakvást még hatékonyabban elaltathassák. A támadók arra is figyelmet fordítottak, hogy 20-nál is több domént regisztráljanak annak érdekében, hogy a célpontjaikat még hatékonyabban és eredményesebben támadhassák. A támadások mögött az iráni Charming Kitten csoport bújt meg, amely az iráni kormányzattal is összeköttetésben van. Az AP hírügynökség szerint a célpontok között nem csak amerikaiak szerepeltek, hanem arab atomkutatók, iráni civilek és egyéb olyan emberek, akik valamilyen szinten kötődnek az Irán elleni, amerikaiak által kilátásba helyezett szankciók kidolgozásához és bevezetéséhez. A támadók az AP munkatársai szerint főként arra voltak kíváncsiak, hogy áll a munka, milyen megszorításokra számíthat az ország.

100%-os védelem igazából nincs az online életben, de megnehezíthetjük a támadók dolgát

Galéria megnyitása
Hogy akkor mégis mit lehet tenni az efféle támadásformák ellen? Az első és legfontosabb: gyanús levelekben található gyanús linkekre egyszerűen NEM kattintunk, még kíváncsiságból sem, ha pedig mégis kattintunk, személyes adatokat még véletlenül sem adunk meg a megnyíló oldalakon – ezzel sok-sok támadási forma méregfogát lehet kihúzni. A kutatók szerint a kétlépcsős hitelesítés alkalmazása és SMS alapú biztonsági kódjai tehát egy kis trükkel kijátszhatók, de ha ipari szabványok köré épülő biztonsági kulcsokat használunk, akkor nagyobb biztonságban lehetünk. Ezek a kulcsok az U2F szabvány köré épülnek és egyre inkább kezdenek elterjedni a piacon, hála az iparági összefogásnak. A Yubikey kínálatában többféle ilyen kulcs is található, amelyek az USB portra csatlakozva egyetlen érintéssel generálnak megfelelő kódsorozatot a biztonságos felhasználó azonosításhoz. A technológiát egyre több szolgáltatás támogatja, ám az is biztos, hogy ha még szélesebb körben elterjed, akkor újabb támadási formákat eszelnek majd ki a hackerek, hogy hozzájuthassanak a megszerezni kívánt adatokhoz.

A Google egyébként az Advanced Protection Program keretén belül már aktívan reklámozza a hardveres kulcsokon alapuló védelmet, amit a GMail mellett egyéb Google szolgáltatásokhoz is lehet használni. A vállalat arra próbálja rászoktatni azokat a felhasználókat, akik már ilyen biztonsági módszerekre támaszkodnak, hogy gyanakodjanak, amennyiben az adott szolgáltatás kód alapú kétlépcsős hitelesítést akar használni a szokásos kulcsos hitelesítés helyett. Ahhoz persze még idő kell, míg ezek az USB kulcs és NFC alapú hitelesítési megoldások elterjednek, de a jelek szerint ezekre akar támaszkodni a jövőben az iparág, ugyanis egyre több szolgáltatás kezdi őket támogatni. Egy-egy ilyen kulcs ára jelenleg 7400 forintról indul, az NFC-t is támogató modell azonban már közel 16 000 forintba kerül (az aktuális kínálat itt található.) Ha a kulcs megsérül vagy elhagyjuk, az alternatív hitelesítési módozatokon keresztül (pl. 2FA) továbbrais hozzáférhetünk szolgáltatásainkhoz, míg a kulcs meg nem lesz, vagy újabbat nem veszünk.

Neked ajánljuk

    Tesztek

      Kapcsolódó cikkek

      Vissza az oldal tetejére