Outro dia, especialistas em segurança da informação da empresa Cerfta Lab publicaram os resultados de um estudo de várias contas de usuários de hackers Yahoo Mail e Gmail. Como se viu, a tecnologia de autenticação de dois fatores usada por esses serviços tem várias desvantagens que permitem que os invasores atuem.
Os autores da investigação acreditam que os hacks foram realizados por ordem do governo iraniano. O objetivo de toda a campanha eram contas invadidas por informações. O ataque foi realizado por email com uma imagem oculta e um script.
A carta em si era uma mensagem sobre atividades suspeitas supostamente detectadas na conta do usuário dos serviços de correio mencionados. Esses e-mails foram enviados de endereços como mailservices @ gmail [.] Com, noreply.customermails@gmail [.] Com, cliente] entrega de e-mail [.] Info. Portanto, usuários não muito avançados dessas mensagens não suspeitavam.
Pelo contrário, muitos tentaram clicar no botão "proteger conta", que redirecionou o usuário para a página de login falsa do serviço de correio. Quando um usuário inseria seus dados, eles eram usados pelos atacantes quase em tempo real para acessar uma conta real. Um usuário com a autenticação de dois fatores ativada recebeu um SMS com uma senha de uso único no telefone; os invasores de alguma forma tiveram a oportunidade de fazer login na conta. Eles aprenderam a contornar a proteção do Google Authenticator.
Os pesquisadores mapearam os domínios e servidores associados a eles.
Os invasores usavam um sistema VPN e um proxy para ocultar seu paradeiro. Mas os pesquisadores conseguiram restaurar o intervalo de IP original a partir do qual o ataque foi realizado. Estes eram endereços iranianos. Além disso, métodos de trabalho semelhantes foram e estão sendo usados pelo grupo de crackers Charming Kitten, que está associado ao governo iraniano.
As vítimas pelas quais os atacantes estavam caçando eram, antes de tudo, jornalistas, políticos, vários tipos de ativistas públicos de muitos países do mundo.
É claro que a principal maneira de se proteger de ataques desse tipo é simplesmente não abrir emails suspeitos. Infelizmente, esse método nem sempre funciona, porque muitas pessoas não veem nada de suspeito em uma carta escrita supostamente pelo Google ou Yahoo. O uso de teclas de atalho (por exemplo, YubiKey), que permitem autenticação ao conectar um dispositivo USB à porta, pode ajudar.
O Google conduziu um estudo cujos resultados indicam claramente que as chaves USB são muito mais confiáveis que os smartphones ou outros sistemas que podem ser usados para autenticação de dois fatores.
Os especialistas em segurança da informação também recomendam que você não use a autenticação de dois fatores ao enviar o SMS como um dos componentes de proteção.