Dwuetapowe uwierzytelnienie może nie wystarczyć. Rosyjscy hakerzy handlują tokenami do usług internetowych
Nie wyobrażam sobie już korzystania z żadnej istotnej usługi internetowej bez 2FA. Jednak również nie wyobrażam sobie życia bez ciasteczek zapamiętujących mnie na komputerze. Doniesienia z Rosji sugerują, że powinienem zmienić przyzwyczajenia.
Jeżeli jeszcze nie korzystacie z dwuetapowej weryfikacji dla ważnych dla was kont internetowych (konto Google? Facebook?) – zacznijcie się niepokoić. Korzystanie z dwuetapowego uwierzytelniania użytkownika polega na tym, że po podaniu loginu i hasła do danej usługi ta wysyła nam dodatkowym kanałem informację do przepisania. Na przykład SMS-a z kodem jednorazowego użytku.
Najczęściej decydujemy się – ja też tak robię – na zapamiętanie nas w pamięci komputera. Po podaniu loginu i hasła do Facebooka w naszej przeglądarce nie chcemy, by za każdym razem jak wspomnianego Fejsa odwiedzamy, mozolić się z loginami, hasłami i kodami. Przecież za sprawą 2FA nawet jak ktoś ukradnie z jakiejś bazy danych loginy i hasła, to i tak nic z tym nie zrobi, bo nie odbierze za nas SMS-a. Nieprawdaż?
Wygląda na to, że niekoniecznie. Rosyjscy hakerzy sprzedają tokeny do kont usług internetowych. Z aktualizującymi się odciskami palca.
W momencie gdy uwierzytelnimy się w danej usłudze, naszemu urządzeniu przyznawany jest token bądź ciasteczko – w zależności od tego, czy używamy przeglądarki, czy też logowaliśmy się w jakiejś aplikacji. Ów token to dobrze chroniona i odpowiednio zabezpieczona informacja dla aplikacji, że użytkownik został bezpiecznie uwierzytelniony i że jest właścicielem swojego konta.
Nie ma jednak zabezpieczeń nie do złamania. Kwestią czasu było pojawienie się na hakerskim czarnym rynku danych kont z podrobionymi tokenami. Usługodawcy zareagowali w ciekawy sposób. Dodatkowym zabezpieczeniem w wielu usługach jest fingerprinting, czyli uwierzytelnianie użytkownika na podstawie zebranych na jego temat informacji. Usługodawcy starają się i tak zbierać jak najwięcej informacji na nasz temat, by lepiej pod nas dopasowywać swoją ofertę. Czemu by nie wykorzystać tych pomiarów telemetrycznych do ustalenia, czy to na pewno my?
Jeżeli osoba po drugiej stronie łącza zacznie się zachowywać niestandardowo i dziwacznie, lub nawet korzystać z innego niż zwykle oprogramowania, serwis z fingerprintingiem poprosi użytkownika o ponowne uwierzytelnienie konta, a ważność podrobionego tokenu. Ten problem wyraźnie zdołała rozwiązać pewna grupa rosyjskich hakerów.
Badacze z TU/e natknęli się na rosyjskim darkwebowym targowisku na oferenta, który ma w swoich zasobach ponad 260 tys. kont z podrobionymi tokenami i działającym aktywnym fingerprintingiem. Baza danych użytkowników była przy tym bardzo szczegółowa – potencjalni nabywcy mogli sortować konta po wielu różnych kryteriach, by wybrać tę pulę użytkowników, których konta szczególnie się sprawdzą do zadanego celu. Cena od 1 do 100 dol. za konto.
Nie jest jasne jak działa mechanizm wykorzystany przez cyberprzestępców – poza tym, że działa. Na dziś jedynym sposobem, by być pewnym swojego bezpieczeństwa, jest zaprzestanie zapamiętywania danych logowania w aplikacjach i przeglądarkach.
