Иранские фишеры смогли взломать двухфакторную аутентификацию Yahoo! и Gmail

Поддерживаемые государством иранские хакеры провели серию атак на лиц, связанных с экономическими и военными санкциями против страны. Их жертвами стали политики, гражданские активисты, правозащитники и журналисты по всему миру, пишут исследователи из компании Certfa. Они назвали атаку «Возвращение очаровательного котенка». Сколько всего человек было атаковано, в отчете не говорится.

Уникальность атаки в том, что злоумышленники нацелились на SMS с кодами, высылаемые системами на входе. Этот способ защиты считается довольно надежным, если пользователь не теряет телефон, на который приходят подтверждающие коды. Фишерам удалось обманом завладеть кодами, не отбирая телефоны.

Как происходила атака?

• Перед атакой фишеры собирали данные о жертве, уточняя ее рабочее время, местоположение, контакты и знание компьютерных технологий.
• Они рассылали фальшивые предупреждения о неавторизованном доступе. Кнопка, которую требовалось нажать, вела на сайт, который только выглядел надежно (например, на бесплатную страничку с адресом sites.google.com, которую могут завести все желающие).
• В письме находился файл изображения, по времени загрузки которого злоумышленники знали, когда их письмо прочитано.
• Злоумышленники начинали перехват данных на своей странице и тут же вводили эти данные на реальной странице входа. Как результат, схема позволяла взломать любые системы двухфакторной аутентификации, где пользователю вообще что-то передается открытым текстом.

Что делать? Специалисты по безопасности рекомендуют для нейтрализации подобных атак использовать аппаратные решения вроде Yubikey.

Александр Амзин