Megerősítő kód vagy hackertámadás?

2016. február 11. 17:00
Egy amerikai kutatásból kiderült, hogy okostelefonok megerősítő kódjával ugyanúgy lehet trükközni, mint az adathalászattal.

A New York Egyetemen érdekes feltevést teszteltek, mely szerint a kéttényezős hitelesítés úgy törhető fel, hogy az adott személyt megerősítő kódjának megosztására bírja rá valahogy a támadó.

A kutatócsoport kitalált egy forgatókönyvet: a hacker csak a célszemély telefonszámát tudja, megpróbál bejelentkezni a fiókjába, és azt állítja, hogy elfelejtette a jelszót. Megerősítő sms-t küldenek neki.

A pilot tesztnél a hackerek második sms-t küldtek a felhasználóknak, amelyben a megerősítő kód továbbítására kérték őket, és arra, hogy igazolják: a telefon online tartalomhoz kapcsolódik. A kérésre a mobilfelhasználók 25 százaléka továbbította nekik a megerősítő kódot, azaz ugyanúgy bedőltek ennek a trükknek, mint az adathalász átveréseknek.

A kutatók egy lépéssel továbbmentek: száz e-mailfiók tulajdonosát vizsgálták a kéttényezős hitelesítési folyamattal, és kiderült, hogy 60 százalékuk nem ellenőrzi rutinszerűen a megerősítő sms-ek forrását. Sőt, 20 százalékuk elmondta: ha nagyobb e-mailszolgáltató kérné, hogy továbbítsák a kódot, simán meg is tennék.
 

Hozzászóláshoz és a további kommentek megtekintéséhez lépjen be, vagy regisztráljon!

Bejelentkezés