® MinOtaVr'S Blog!

Το Multi-factor authentication είναι παντού στις μέρες μας. Όλες οι ιστοσελίδες σας ζητούν να το ενεργοποιήσετε και έχουν καλό λόγο για να το κάνουν. Όταν μια παραβίαση δεδομένων κάνει γνωστό σε κακόβουλους ότι το password σας είναι «password», ο λογαριασμός σας θα παραμείνει ασφαλής, αφού ο άλλος παράγοντας ασφαλείας σας παραμένει άγνωστος σε εκείνους. Συνήθως αυτός σας αποστέλλεται είτε ως μήνυμα στο κινητό, είτε μέσω μιας εφαρμογής ταυτοποίησης.
Τι είναι τα FYEO, OSINT και Smishing;
Σύμφωνα με την ιστοσελίδα του, το FYEO είναι «κυβερνοασφάλεια για το Web 3.0», γεγονός που σημαίνει ότι προωθεί ένα αποκεντρωμένο διαδίκτυο, καθώς και αποκεντρωμένα οικονομικά και ασφάλεια. Το FYEO χρησιμοποιείται επίσης από μερικούς ως «For Your Eyes Only», δίνοντας μια αίσθηση που θυμίζει James Bond.

Όσο για το OSINT, πρόκειται για συντομογραφία του open-source intelligence, με τον όρο να έχει εμφανιστεί πολύ στο Black Hat. Ουσιαστικά πρόκειται για τη συλλογή και την ανάλυση πληροφοριών που είναι διαθέσιμες παντού, ώστε να αναπτυχθεί χρήσιμη νοημοσύνη. Είναι εντυπωσιακό το τι μπορεί να σκεφτεί ένας αφοσιωμένος ερευνητής, βασιζόμενος στις πληροφορίες που δεν είναι σε καμία περίπτωση κρυμμένες.
Σίγουρα έχετε ακούσει για το phishing, την τεχνική με την οποία απατεώνες μπορούν να σας παραπλανήσουν ώστε να συνδεθείτε σε ένα αντίγραφο μιας ιστοσελίδας τράπεζας ή κάποιας άλλης ασφαλούς σελίδας, για να κλέψουν τα στοιχεία σας. Τα phishing links συνήθως αποστέλλονται με email, αλλά μερικές φορές προτιμούνται SMS. Σε αυτή την περίπτωση, χρησιμοποιείται ο όρος smishing.
Γιατί δεν είναι ασφαλή τα μηνύματα;
«Το αποκαλούμε smishmash επειδή είναι μια ένωση τεχνικών,» εξηγεί ο Olofsson. «Το two-factor authentication (2FA) μέσω SMS δε λειτουργεί σωστά. Αυτό δεν αποτελεί είδηση, αφού δε λειτουργεί σωστά από την αρχή. Δεν προοριζόταν ποτέ για τέτοια χρήση. Χρησιμοποιούμε τα μηνύματα για απάτες όσο καιρό χακάρουμε. Τώρα όμως αρχίζει να χρησιμοποιείται ως όπλο.»
Τα γραπτά μηνύματα απολαμβάνουν μεγαλύτερης υποσυνείδητης εμπιστοσύνης από τις άπατες μέσω email και ως εκ τούτου υπάρχει μεγαλύτερο ποσοστό επιτυχίας, σημειώνει. Ο Olofsson έχει ασχοληθεί με πολλές κλοπές που είναι αξίες αναφοράς, και εμπλέκουν το smishing και το 2FA, συμπεριλαμβανομένης μεγάλης ληστείας NFT από την OpenSea. «Βλέπουμε τεράστια αύξηση στον αριθμό των επιθέσεων smishing,» λέει. «Πόσοι από εσάς έλαβαν κάποιο ανεπιθύμητο μήνυμα την περασμένη εβδομάδα; Οι αριθμοί τηλεφώνου σας διαρρέουν όλο και περισσότερο.»
«Αυτό που έχουμε κάνει (είναι να συνδυάσουμε) μια έρευνα των clear-net και darknet ώστε να δημιουργήσουμε μια τεράστια βάση δεδομένων,» είπε ο Byström.
«Όσο κάναμε αυτή τη έρευνα, είχαμε παρά πολύ spam.» προσθέτει ο Olofsson. «Ακόμα και αν θέλετε να αγοράσετε αυτή τη λίστα παρευρισκόμενων του Black Hat, η τιμή είναι κάτω από $100.»
«Τα προσωπικά στοιχεία που διέρρεαν ήταν το username και το password,» λέει ο Olofsson. «Πλέον, αν έχεις ένα username, ένα παραβιασμένο password και έναν αριθμό τηλεφώνου, έχεις καλές πιθανότητες να παρακάμψεις το 2FA. Έχουμε μια βάση δεδομένων 500 εκατομμυρίων αριθμών τηλεφώνου, ώστε να συνδέουμε μια στις πέντε διευθύνσεις email σε έναν αριθμό.»
Πώς δουλεύει μια παραβίαση του 2FA;
«Ο πιο συνήθης τρόπος να πιάσεις κορόιδο το 2FA είναι να ξεκινήσεις διαδικασία επαναφοράς password και μετά να εξαπατήσεις τη συσκευή,» εξηγεί ο Olofsson. «Μελετήσαμε έξι επιθέσεις στον πραγματικό κόσμο και τρεις από αυτές εμπλέκουν ανάκτηση λογαριασμού. Γενικά, η διαδικασία ανάκτησης λογαριασμού είναι πολύ χαλαρή.»
Το SMS αναπτύχθηκε κατά τη δεκαετία του 80 και το πρώτο γραπτό μήνυμα στάλθηκε το 1992. «Δεν προοριζόταν ποτέ να είναι ασφαλές. Δεν υπάρχει ούτε έλεγχος, ούτε ταυτοποίηση του αποστολέα, τίποτα. Και υπάρχουν αρκετοί τρόποι να αποσταλούν μηνύματα,» αναφέρει. «Χειροκίνητα από το τηλέφωνό σας, προφανώς. Στέλνοντάς το μέσω ενός modem στο κινητό σας. Ή χρησιμοποιώντας υπηρεσία API.»
Αυτόν τον τύπο απάτης παρουσίασαν οι δυο ερευνητές στο Black Hat. Έπειτα, ο Olofsson έδειξε ότι μπορείτε να αγοράσετε την απαραίτητη για αυτές τις επιθέσεις, τεχνολογία. «Με $160 μπορείτε να αγοράσετε custom hardware από το Alibaba για να κάνετε κάτι τέτοιο,» είπε δείχνοντας μια σελίδα από τον ιστότοπο. «Υπάρχει και hardware που μπορεί να κάνει 64 επιθέσεις ταυτόχρονα. Μπορούν να υποκλέψουν το IMEI και τον αποστολέα του SMS. Ουσιαστικά πρόκειται για κοινό μυστικό. Μάλιστα υπάρχει μάρκετινγκ για αυτά.»
Η ομάδα ανέτρεξε σε μερικές τεχνικές μεθόδους και υπηρεσίες, τις οποίες θα μπορούσαν να χρησιμοποιήσουν οργανισμοί για προστασία απέναντι σε αυτού του είδους την επίθεση, αλλά είναι σαφές ότι η καλύτερη λύση είναι να μη βασιζόμαστε σε SMS. Έδειξαν επίσης ολόκληρη τη βάση δεδομένων, με τους κωδικούς πρόσβασης να μην είναι ορατοί στους παρευρισκόμενους του Black Hat, ώστε όλοι να μπορούν να δουν αν ο αριθμός τηλεφώνου τους είναι εκτεθειμένος. Οι πλήρως πιστοποιημένοι ερευνητές μπορούν να ζητήσουν πλήρη πρόσβαση στην έκδοση που δεν έχει κρυμμένο τίποτα.
Το μάθημα που παίρνουμε είναι ξεκάθαρο. Σε οποία ιστοσελίδα και αν σας δίνεται η επιλογή, μην επιλέγετε την πιστοποίηση μέσω SMS. Αν πρόκειται για ένα σημαντικό λογαριασμό που δεν προσφέρει άλλη επιλογή, όπως για παράδειγμα η τράπεζά σας, επικοινωνήστε και ζητήστε κάτι καλύτερο.
Σημείωση: Μετά τη δημοσίευση του παρόντος άρθρου, οι Oloffson και Byström επικοινώνησαν μαζί μας και μας έδωσαν ένα link για το κοινό, ώστε να ελεγχθούν οι αριθμοί τηλεφώνου όλων. Απλά πατήστε το link και εισάγετε τον αριθμό τηλεφώνου σας χωρίς στίξη, συμπεριλαμβάνοντας τον κωδικό της χώρας όπου κατοικείτε, στην αρχή. (+30 για την Ελλάδα)

[via]