ugrás a tartalomhoz

2FA - ez is megkerülhető

mind1 valami név · 2018. Dec. 14. (P), 06.21
Mivel a blogmark funkció nem működik...

arstechnica.com

Érdemes elolvasni. Úgy fest, egy-két kivételtől eltekintve, a legtöbb kétlépcsős azonosítás kijátszható. És még én vagyok paranoiás :D
 
1

Hát ha elég hülye a user,

inf · 2018. Dec. 14. (P), 15.10
Hát ha elég hülye a user, hogy ne kapcsolja ki a képek linkelését a levelezőben és fake login oldalon lépjen be, amit emailben kap, akkor meg is érdemli. Az USA kormánya is megérdemli, mert nem képzi a dolgozóit ilyen jellegű támadások ellen, pedig fél órában el lehet mondani, hogy mire vigyázzanak. Egyébként az nem áll össze nekem ezzel kapcsolatban, hogy amikor megnézed a levelet, akkor már be vagy lépve a gmail vagy yahoo leveleződbe, szóval nagyon kezdőnek kell lenni ahhoz, hogy ne tűnjön fel, amikor egy linkre mész, hogy újra be akar léptetni a rendszer. Bár amennyire figyelmetlenek sokan, meg amennyire nem értik ezeknek a működését, végülis elhiszem, hogy vannak egy jó páran, akik így is beszopják.
2

Simán benézik

Pepita · 2018. Dec. 14. (P), 17.04
nagyon kezdőnek kell lenni ahhoz, hogy ne tűnjön fel, amikor egy linkre mész, hogy újra be akar léptetni a rendszer
Fejből nem tudom, hogy ezeknél van-e olyan beállítás / változtatás / egyéb feature, amihez újra kér jelszót, de egyébként nem ritkaság érzékeny dolgokhoz újra kérni. Úgy emlékszem én guglis cuccoknál is tapasztaltam ilyet.

Fake domaint is könnyű benézni, nagyon sokan azt se tudják egy URL-ből, hogy melyik része a domain. Nem rég láttam is egy elég cseleset, de már nem találom, valami ilyesmi volt:

https://nav.gov.hu-valami-feature-neve.fakedomain.com/valami/hosszu/path/
Szerintem egy ilyet nagyon sokan benéznek, ha a design eléggé hasonlít (az meg nem nehéz).

A képzéssel teljesen egyetértek, csak azzal nem, hogy fél óra lenne.
3

Csak annyi lenne, hogy ne

inf · 2018. Dec. 14. (P), 17.47
Csak annyi lenne, hogy ne kattintsanak emailben ismeretlenektől kapott linkekre, töltsenek le és indítsanak el exe, msi, stb. fájlt. Vagy ha mégis, akkor legalább nézzék meg az URL-t, hogy https van e benne, és hogy stimmel e a domain név. Ez tényleg inkább fél perc, nem fél óra. :-)
4

Azért a 2fa megkerüléséhez

mind1 valami név · 2018. Dec. 14. (P), 18.19
Azért a 2fa megkerüléséhez szükséges felkészültségbe belefér, hogy képes olyan levelet küldeni, ami olyan, mintha hivatal/google/yahoo/stb. küldte volna. És máris nem ismeretlentől jött mailnek látja a laikus.
Sajnos a pgp/gpg teljesen kiment a divatból, pedig annak felszínes ismerete is elég lenne az ilyen csalások nagy részének kiszűrésére.
5

De kattint... :)

Pepita · 2018. Dec. 15. (Szo), 08.57
Egyrészt attól, hogy te egyszer elmondod, hogy mit nem szabad csinálni, még simán 2 nap alatt elfelejtik..
Másrészt az én példámban is ott az SSL. (Lentebb leírom a story-t.)
Ezen kívül, ha olyan könnyű lenne szót érteni a hivatali Manyika nénikkel, akkor nem kapnék ilyen jellegű (anonym) idézett konkrét problémát magyarázatként néhány biztonsági házirendre:
Utána akartam nézni valaminek (tegnap láttam otthon egy filmet és meg akartam nézni, hogy mi volt a címe) de addig kattintgattam, amíg hirtelen letöltött valamit a gépem.
A letöltések között ott van ez az alkalmazás és nem tudom törölni.
Azért komoly, nem? :-D

OFF, mert nem 2fa:
A fenti sztorit pedig fb-n láttam, fényképezővel készült "képernyőképpel".
Küldtek egy emailt azzal a (navos) dumával, hogy adóvisszatérítést kapsz, és ezt "a kártyádra tudják utalni", ehhez az alábbi linken frissítsd / add meg a kártyád adatait.
Természetesen a fake oldal tök olyan volt, mint a navos, és - természetesen - kérte a CCV/CCV2 kód megadását is...
- Sajnos a hétköznapi emberek többsége - saját ismeretségi körömben is - nem igazán tud különbséget tenni bankkártya és bankszámla között, még mindig az él a köztudatban, hogy "a kártyán van a pénz".
- Emiatt simán elhiszik, hogy nem a számlaszám kell, hanem a kártya adatok
- Közülük sokan fizettek is már weben kártyával, úgyhogy nem ismeretlen / szokatlan a számukra, hogy a CCV/CCV2 -t is meg kell adni.
- Egyedül annyi a különbség, hogy most éppen (szerintük) nem fizetni kell, hanem kapnak pénzt. Az ember viszont hiszékeny, és ha a fenti tévhitekben él, simán megadja az adatokat, hogy mielőbb "megkapja a visszatérítést".

Próbáltam egyébként megnézni ezt az "adatbekérő" oldalt, de akkor már nem volt meg. A fődomain valami indiai cégé volt, és egy webshop üzemelt rajta, a trükkös aldomain már nem élt.
A magyar netes csalások nagy része erről szól, hogy adj meg valami bizalmas adatot, és nyilván sokan megeszik, különben nem lenne annyi próbálkozás.
6

A 30 másodpercet

Pepita · 2018. Dec. 15. (Szo), 09.08
A 30 másodpercet egyébként nem nagyon értem, mert általában az ilyen 2fa-k 60 másodpercig élnek (vagy sms-nél esetleg tovább). Vagy arra gondolt a szerző, hogy ha a user 30 secen belül megadta, akkor lesz jó?
Nem igazán értem a dolgot, mert egy dolog, hogy fake login oldal, a háttérben muszáj neki azonnal a valódin is bejelentkezni, másképp lejár a 2fa.
Azt viszont kétlem, hogy API-n lehetne jelszóval autentikálni, szóval valakinek szintén a gép előtt kell ülnie realtime. Vagy tévedek?
7

Ugyanúgy meg lehet nyitni egy

inf · 2018. Dec. 15. (Szo), 11.21
Ugyanúgy meg lehet nyitni egy böngészőt pl Seleniummal (de akár anélkül is), aztán végigkattintani ugyanazt, mint a user automatizáltan. Ha beüti a jelszót meg az SMS kódot, akkor azt simán be lehet ütni a másik oldalon is. Annyi a különbség, hogy 10 percen belül lejár a session, szóval ha nincs az utalás része is automatizálva, akkor ott kéne lennie a hackernek. Azt nem tudom, hogy miért képpel csinálták meg a riasztást. Valószínűleg csak nagyon kis részben automatizálták és a hacker maga ütötte be az adatokat.

Ja vágom az ilyen kattintósakat. Szomszéd is ilyen. Nem tudja hogyan, de sikerült legalább egy tucat vírust lerántani a gépére. :D Gondolom a nagy része nem tud angolul, aztán rámegy, hogy oké. A fejlettebbek már arra mennek rá, hogy mégse. :D
8

Jogos

Pepita · 2018. Dec. 15. (Szo), 12.12
Ugyanúgy meg lehet nyitni egy böngészőt pl Seleniummal
Ez itt eszembe se jutott - elég gagyi hacker lennék... :-D