Előző bejegyzésünkben a záró kérdésünk az volt, hogyan néz ki egy támadás, ha a támadott oldal használ SMS-ben érkező jelszót is?
Jelen bejegyzésünkben csak az eltérő folyamat modellt mutatjuk be.
A folyamat:
- A támadó, aki kontrollálja a közbeékelt adathalász webhelyet, vagy célzottan az áldozat felhasználót keresi meg egy, a korábbi bejegyzésben vázolt preparált email-el, vagy tömeges email küldéssel próbál gyanútlan áldozatokat odacsalni az adathalász weboldalhoz.
- Sikeres "beetetés" esetén a felhasználó próbál bejelentkezni a hamisított weboldalon, megadva a felhasználói nevét és jelszavát, amit az adathalász webhely egyből tud naplózni.
- Mivel az oldal alkalmaz SMS alapú 2. faktoros azonosítást is, szükséges, hogy az elkapott felhasználói név és jelszót felhasználva a támadó (illetve az őt helyettesítő automata program) bejelentkezzen az eredeti oldalra is.
- Sikeres bejelentkezés esetén a tárolt mobil telefonszámra a támadott weboldal megküldi az egyszer használatos, limitált ideig érvényes jelszót SMS-ben.
- A felhasználó még mindíg az adathalász oldalon van, így ott begépeli az SMS-ben kapott jelszót.
- Ezen a ponton a támadó gyakorlatilag már meg is szerezte a hozzáférési azonosítókat a támadott rendszerhez, de a gyanú elterelése érdekében a bejelentkezési adatok birtokában jellemzően végrehajtja a támadott weboldalon is a bejelentkezést, és vagy egy szolgáltatás nem elérhető hibaüzenetet küld az áldozatnak, vagy irányithatja őt az eredeti weboldal megfelelő szolgáltatásához, mintha minden rendben történt volna.
- Ezt követően már szabad az út a támadó számára, hogy a neki tetsző adatainkoz hozzáférjen, mivel kontrollja van egy eltérített élő munkamenet felett. Amíg ez a munkamenet él, addig bármilyen adatunkhoz hozzáfér, azokat módosíthatja, az eredeti felhasználót kizárhatja a rendszerből.
Összehasonlítva az U2F megoldással, ahhoz képest az alábbi eltérések vannak:
- bonyolultabb használni,
- drága az üzemeltetése,
- szolgáltató függő,
- a szükségesnél több személyi adatot kezel (telefonszám),
- lemerült eszköz, vagy térerő hiányában nem működik az SMS,
- nem nyújt védelmet az adathalász támadások ellen.
Hogyan néz ki egy támadás, ha a támadott oldal használ OTP (One-Time Password) generátor által biztosított jelszót is?
Nézd meg, a következő blogbejegyzésünket! :)
Kapcsolódó cikkek:
Adathalászat QR-kóddal védett oldalak esetén
Adathalászat OTP generátor által előállított jelszóval is védett oldalak esetén
Adathalászat jelszóval védett oldalak esetén
Kell-e védekeznünk az adathalászat ellen?