Totrinnsverifisering (2FA) anses ofte som en tilnærmet idiotsikker påloggingsløsning, men hackere jobber som kjent hardt med å finne omveier rundt ethvert sikkerhetstiltak. Nå rapporteres det om en ny trend som gjør totrinnsverifiseringen litt mindre sikker enn det mange antar.
Nettstedet Motherboard skriver at hackere nå benytter seg av automatiserte oppringninger av brukere for å skaffe seg tilgang til engangskodene som 2FA-løsningene ofte benytter seg av.
Bruker bot-er som selges på nett
Oppringningene foretas av roboter, eller OTP-bot-er (one time password), som tilbys på diverse undergrunnsmarkeder til en rimelig penge. Disse markedene skal nå være i sterk vekst.
Metoden innebærer å bruke roboten til å ringe opp offeret og be vedkommende om å fylle inn engangskoden tilhørende den aktuelle kontoen. Begrunnelsen som oppgis for den falske oppringningen er sikring av kontoen og/eller uautorisert aktivitet, noe mange kan la seg lure av da slike henvendelser ofte forekommer på legitimt grunnlag.
På samme tid som den automatiserte oppringningen finner sted sørger hackerne for at den reelle engangskoden sendes fra den aktuelle plattformen til brukerens mobil. Dette gjøres for eksempel ved å fylle inn passord og brukernavn, noe som automatisk utløser sending av engangskoden for pålogging.
Denne koden fanges så opp av bot-en og videresendes til hackeren, som da kan bruke koden til å logge inn på kontoen til offeret.
Microsoft: – Ikke bruk SMS-basert totrinnsverifisering
Lages for spesifikke plattformer
Teknikken krever altså at bakmennene sitter på passord og brukernavn, men dette er data som i mange tilfeller kan hentes fra tidligere lekkasjer, og hjulpet av det faktum at mange mennesker gjenbruker brukernavn og passord til flere kontoer. Slike data kan også kjøpes på undergrunnsmarkeder.
Motherboard var i kontakt med en person som skal ha markedsført bot-ene på nettet. Vedkommende opplyste at bot-ene er designet for spesifikke plattformer, deriblant Apple Pay, PayPal, Amazon, Coinbase og en rekke ulike banker, og prisen ligger som regel på noen hundre dollar.
– Bot-ene er fine for folk som ikke har ferdigheter innen sosial manipulering (social engineering). Ikke alle er komfortable og overbevisende på telefonen, ser du, sa personen til nettstedet i en nettbasert samtale.
Omtalt av sikkerhetseksperter
Det er uvisst akkurat hvor utbredt fenomenet er i skrivende stund, og hvor stor trussel teknikken utgjør på våre breddegrader, men bot-ene øker raskt i popularitet.
Fremveksten av fenomenet har også blitt beskrevet av sikkerhetseksperter. Den anerkjente sikkerhetsskribenten Brian Krebs omtalte OTP-bot-ene i februar i år, og på nytt nå i september.
– Disse tjenestene vokser frem fordi de fungerer og fordi de er lønnsomme. Og de er lønnsomme fordi altfor mange nettsider og tjenester leder brukere til multifaktorautentisering som kan avskjæres, forfalskes eller feilsendes – som SMS-baserte engangskoder eller app-genererte engangspassord, skriver Krebs.
At SMS-basert totrinnsverifisering ikke er spesielt trygt på grunn av faren for avskjæring er noe også Microsoft har advart mot, som digi.no rapporterte i november i fjor (krever abonnement).
Nå skal Google skru på totrinnsverifisering som standard