La verificació en dos factors s'ha fet forta en la gran majoria dels serveis online per reforçar la seguretat de les dades privades però, com sempre se sol dir, no hi ha un sistema de seguretat perfecte. CSO es fa ressò del que ha viscut recentment Alex MacCaw, cofundador de Clearbit: un SMS que, per si sol, pot entrar en comptes de Google aliens.
La idea d'aquest SMS és intentar confondre a l'usuari incaut i aconseguir que aquest li enviï, via un missatge de text, un codi de verificació de Google que li permetria entrar en el compte i accedir a totes les dades.
La tàctica és la següent: Algú, l'atacant, ha aconseguit la contrasenya del compte de Google. Però com està activada la verificació en dos passos, no pot accedir al compte perquè el codi de verificació que es genera en introduir la contrasenya s'envia al mòbil, que l'atacant no te.
Davant aquesta situació, l'atacant envia el següent missatge al mòbil:
"Recentment hem rebut un intent sospitós d'identificació en el teu compte XXXXX@gmail.com des de l'adreça IP XXX.XX.XX.XXX (Ubicació). Si no has intentat iniciar sessió des d'aquesta ubicació i vols bloquejar el teu compte temporalment respon a aquesta alerta amb el codi de verificació de sis dígits que rebràs en uns instants". Cal ignorar aquesta advertència.
I tot seguit intenta iniciar sessió a Google amb el compte i la contrasenya. És clar, Google envia un codi al mòbil perquè està activada la verificació en dos passos, de manera que algú incaut es pot creure que tots dos missatges són de Google quan en realitat només ho és el segon.
Si la víctima envia el codi de verificació, li està donant accés total del seu compte de Google a l'atacant.
Com identificar i evitar aquest atac?
Fàcil: quan es rep un codi de verificació al mòbil per iniciar sessió a Google tot just quan s'acaba d'introduir la contrasenya del compte en alguna aplicació o web. De manera que si es rep sense haver-ho fet o ho es fa just després de rebre un d'aquests SMS sospitosos, no enviar el codi de verificació en cap cas.
Una altra forma per entendre-ho: el codi de verificació que envia Google cal col·locar-lo allà on s'està intentant iniciar sessió en aquell moment i en cap altre lloc. Si algú o alguna cosa ho demana, està intentant entrar al compte de forma il·legal.
Cap comentari:
Publica un comentari a l'entrada
Aquest és un blog amb moderador dels comentaris. Per tant, no apareixen immediatament