Двухэтапная Аутентификация – До Свидания

Двухэтапная аутентификация.

Хорошая идея, но на практике она лишь упрощает получение доступа к вашим данным, потому что… включает слишком много дополнительных участников, у которых тоже могут быть свои уязвимости.

Давно собирался об этом написать, но руки как-то не доходили.

На днях, уже испытав всю прелесть этого метода защиты, я решил, что время пришло.

Итак, двухэтапная аутентификация подразумевает дополнительную защиту ваших электронных данных за счет привязки мобильного телефона и подтверждения входов или других транзакций посредством SMS. Ситуация: мужчина теряет свой телефон.

В моем случае не новый, а любимый телефон, подаренный девушке.

Через полчаса после того, как он был «потерян», его успешно отвязали от iCloud. На телефоне был установлен нестандартный пароль разблокировки, активирован TouchID, пароль iCloud уверенно попадает в категорию сложных.

Телефон заблокирован через сервис FindMyIphone.

Первый случай

Для этого есть методы на любой вкус, поэтому пропустим этот пункт. Допустим, это адрес электронной почты, зарегистрированный в Google.

Действие первое: человек заходит на адрес почтовика и нажимает восстановить пароль для существующего адреса, выбирая СМС-подтверждение.

Акт второй: Телефон защищен паролем и отображение входящих сообщений на экране отключено.

Окей, просим Siri озвучить последнее сообщение и, несмотря на блокировку устройства, получаем код. Альтернативный вариант: после отправки СМС выберите звонок и спокойно примите его на заблокированном устройстве.

Код получаем, озвучив его с помощью IVR. Акт третий: Вводим код сброса пароля в форму почтовика, придумываем новый пароль и получаем контроль над аккаунтом.

Акт четвертый: зайдите на appleid.com, запросите сброс и получите для этого код на уже перехваченное письмо.

Акт пятый: Отвязываем устройство от аккаунта, уже проделав очень простые операции по смене контрольных вопросов.

Стоит отметить, что процедура восстановления доступа к учетной записи Apple может отличаться и в некоторых случаях подразумевает более простой способ – выбор в виде восстановления доступа к учетной записи «телефон» и получение кода для ввода пароля непосредственно на Apple. сайт удостоверения личности.

Способ работает, если устройство уже какое-то время привязано к учетной записи и защищено паролем или TouchID. Давайте не будем на этом останавливаться.

Второй случай

Более того, в отличие от первого случая, злоумышленник изначально знает, «кого» он пытается взломать.

Цель — почта.

Не берусь рассказывать о других странах, но в Украине у сотовых операторов есть процедуры, выполнив которые и ответив на определенные вопросы оператора колл-центра, можно попросить сбросить пароль от личного кабинета.

Действие первое: Злоумышленник звонит в СЦ оператора, пока жертва спит, с любого телефона, сообщая, что ему необходимо получить доступ к личному кабинету, но перезвонить с телефона, к которому привязан этот аккаунт, нет возможности.

Далее следует ряд вопросов, ответы на которые легко получить заранее.

Не буду останавливаться на этом моменте, но примерно за пять попыток, не привлекая внимания и используя разные номера телефонов для тестовых звонков в СЦ, можно собрать список всех необходимых вопросов, одинаковых для получения информации о телефоне абонента.

расходы и на восстановление SIM-карты абонентов предоплаченных форм связи и на восстановление доступа к личному кабинету.

Акт второй: злоумышленник получает доступ к аккаунту жертвы, где устанавливает переадресацию всех звонков на свой номер телефона.

Или переадресация СМС, если аккаунт технически это позволяет. Акт третий: Gmail запрашивает сброс пароля по номеру телефона.

После отправки СМС можно указать, что оно не получено и запросить звонок, протестируйте, кнопка вызова появилась через 60 секунд после отправки СМС.

Акт четвертый: Получив код для сброса пароля на gmail через IVR почтовика, злоумышленник получает доступ к почте жертвы, а соответственно и к большинству аккаунтов, которые закреплены за этой почтой.

Ожидается, что получив СМС с кодом, жертва его не увидит, т. к.

будет спать.

Если личный кабинет мобильного оператора жертвы взлома поддерживает функцию настройки переадресации СМС-сообщений, время суток перестает играть роль.

Третий случай

сетях» или разблокировать украденный телефон.

Третий случай идентичен второму, но предполагает большие финансовые затраты.

Нетрудно найти человека, который устроится на работу в колл-центр интересующего оператора связи, где с первых дней стажировки этому сотруднику будет присвоен персональный пароль к системе обслуживания абонентов, в том числе функция просмотра детализации звонков (возможно, с последними цифрами или без них), а также панели управления пользовательскими сервисами, включая редиректы, о которых я писал в случае выше.

Возможно, что личный пароль будет предоставлен позже; в этом случае обучение нового сотрудника осуществляется с использованием логина/пароля уже опытного сотрудника КЦ, который, скорее всего, уже имеет доступ ко всем необходимым функциям.

Дорого это дело только в том случае, если его не с чем сравнивать и, конечно, всецело зависит от цели.

Используя приведенные элементарные случаи, или их вариации, на которых нет смысла останавливаться, довольно легко получить доступ к различным сервисам и аккаунтам.

К сожалению, хорошо функционирующие меры безопасности в сочетании иногда могут иметь неприятные последствия, только увеличивая вероятность взлома.

Методы защиты: Не используйте двухфакторную аутентификацию в каких-либо важных сервисах.

По возможности не добавляйте номер телефона, который вы используете, в какие-либо интернет-сервисы, даже если этот номер в конечном итоге скрыт настройками конфиденциальности.

Он может быть скрыт от отображения, но получен с помощью инструментов поиска или инструментов восстановления пароля для этих же сервисов.

У некоторых операторов связи существуют иные процедуры обслуживания абонентов, которые в той или иной степени повышают безопасность пользователей, но в любом случае вопрос только в том, насколько вы лично интересны человеку, который будет работать над получением доступа к вашим персональным данным.

Кроме того, я постарался поверхностно описать возможные и проверенные векторы атак, но это не значит, что я описал их все, как и не означает, что защищаясь от одних, мы не будем подвержены другим.

В конце поста хотелось бы добавить, что я не являюсь специалистом в вопросах информационной безопасности, по роду деятельности не имею к этому никакого отношения, скорее это просто личный интерес.

Это моя первая публикация.

Не судите строго, возможно для кого-то я описал очевидные вещи, но возможно для кого-то эта информация окажется полезной и хоть немного снизит вероятность потери или компрометации вашей личной информации.

Теги: #двухэтапная аутентификация #Apple #информационная безопасность #взломщики #ИТ-компании #ИТ-компании

• Общие Сведения О Домашних Развлекательных Системах Wd

  19 Oct, 24

• Sap Business One, Чикаго, Атланта, Консультант, Срочные Новости: Производство

  19 Oct, 24

• Регистратор Reg.ru Приобрел Старейшего Российского Хостинг-Провайдера «Агава»

  19 Oct, 24

• Госдума Приняла Во Втором Чтении Законопроект О «Праве На Забвение» С Понятием «Нерелевантной Информации»

  19 Oct, 24

• Приложения Из Других Мобильных Операционных Систем Можно Портировать На Windows Phone

  19 Oct, 24

• О Дизайне. Часть 2. Практические Примеры

  19 Oct, 24

• Dev Labs 2017. Онлайн-Конференция Для Java И Веб-Разработчиков. 25 Марта

  19 Oct, 24

• Listview Внутри Scrollview

  19 Oct, 24

• Наушники Для Профессионалов За $1150

  19 Oct, 24

• Тестирование Amazon Sqs

  19 Oct, 24