Adathalászat SMS jelszóval is védett oldalak esetén

Adathalászat SMS jelszóval is védett oldalak esetén

Előző bejegyzésünkben a záró kérdésünk az volt, hogyan néz ki egy támadás, ha a támadott oldal használ SMS-ben érkező jelszót is?

Jelen bejegyzésünkben csak az eltérő folyamat modellt mutatjuk be.

A folyamat:

  1. A támadó, aki kontrollálja a közbeékelt adathalász webhelyet, vagy célzottan az áldozat felhasználót keresi meg egy, a korábbi bejegyzésben vázolt preparált email-el, vagy tömeges email küldéssel próbál gyanútlan áldozatokat odacsalni az adathalász weboldalhoz.
  2. Sikeres "beetetés" esetén a felhasználó próbál bejelentkezni a hamisított weboldalon, megadva a felhasználói nevét és jelszavát, amit az adathalász webhely egyből tud naplózni.
  3. Mivel az oldal alkalmaz SMS alapú 2. faktoros azonosítást is, szükséges, hogy az elkapott felhasználói név és jelszót felhasználva a támadó (illetve az őt helyettesítő automata program) bejelentkezzen az eredeti oldalra is.
  4. Sikeres bejelentkezés esetén a tárolt mobil telefonszámra a támadott weboldal megküldi az egyszer használatos, limitált ideig érvényes jelszót SMS-ben.
  5. A felhasználó még mindíg az adathalász oldalon van, így ott begépeli az SMS-ben kapott jelszót.
  6. Ezen a ponton a támadó gyakorlatilag már meg is szerezte a hozzáférési azonosítókat a támadott rendszerhez, de a gyanú elterelése érdekében a bejelentkezési adatok birtokában jellemzően végrehajtja a támadott weboldalon is a bejelentkezést, és vagy egy szolgáltatás nem elérhető hibaüzenetet küld az áldozatnak, vagy  irányithatja őt az eredeti weboldal megfelelő szolgáltatásához, mintha minden rendben történt volna.
  7. Ezt követően már szabad az út a támadó számára, hogy a neki tetsző adatainkoz hozzáférjen, mivel kontrollja van egy eltérített élő munkamenet felett. Amíg ez a munkamenet él, addig bármilyen adatunkhoz hozzáfér, azokat módosíthatja, az eredeti felhasználót kizárhatja a rendszerből.    

Összehasonlítva az U2F megoldással, ahhoz képest az alábbi eltérések vannak:

  • bonyolultabb használni,
  • drága az üzemeltetése,
  • szolgáltató függő,
  • a szükségesnél több személyi adatot kezel (telefonszám),
  • lemerült eszköz, vagy térerő hiányában nem működik az SMS,
  • nem nyújt védelmet az adathalász támadások ellen.

Hogyan néz ki egy támadás, ha a támadott oldal használ OTP (One-Time Password) generátor által biztosított jelszót is?

Nézd meg, a következő blogbejegyzésünket! :)


Kapcsolódó cikkek:

Adathalászat QR-kóddal védett oldalak esetén

Adathalászat OTP generátor által előállított jelszóval is védett oldalak esetén

Adathalászat jelszóval védett oldalak esetén

Kell-e védekeznünk az adathalászat ellen?