A halálra idegesítés a hackerek taktikája
Ezekre figyeljetek az egészségetek érdekében!
Nézze meg a sporthíreket is
Iratkozzon fel hírlevelünkre Nézze meg a sporthíreket is
Csatlakozzon hozzánk közösségi oldalainkon is!
Primitív, de gyakran hatásos módszerrel kerülik ki a kétlépcsős hitelesítést.
Az elmúlt hónapokban többek közt a 16 éves fiatalkorú által vezetett Lapsus csoport is rengeteg nagynevű multicégtől képes volt üzleti titkokat kilopni, igazi hackelés helyett adathalászattal, dolgozók megtévesztésével, továbbá potenciálisan vesztegetéssel jutott be a vállalatok rendszereibe. Az első kettő esetében jogos a kérdés, hogy ha sikerült is valahogy kiszedni a dolgozókból a felhasználói neveiket és a jelszavaikat, akkor az elmúlt években sztárolt kétlépcsős hitelesítés miért nem állította meg támadókat, pont ilyen esetekre lett kitalálva végső védelmi vonalnak.
A Mandiant biztonsági cég szerint a megoldás kulcsát sok esetben a kétlépcsős hitelesítés módja jelenti, SMS-ben kapott vagy mobilappal generált kód beírása helyett a vállalatok dolgozói kényelmi okból automatizált telefonhívások fogadásával, vagy mobilalkalmazás által feldobott felületen hagyhatják jóvá a belépést. Az utóbbival sokan találkozhattak már, a Google-fiókokban is ez a preferált azonosítási módszer.
A megoldás gyenge pontját a Lapsus mellett többek közt az orosz állami kötődésű Cozy Bear csoport is bizonyítottan kihasználja: addig csörgetik és pittyegtetik a belépési kísérletekkel a dolgozók mobiljait, amíg azoknál el nem szakad a cérna, és kínjukban jóvá nem hagyják a támadó belépését.
A biztonsági szakma által „MFA bombing" névre keresztelt támadás egyes esetekben aránylag diszkrét módon történik, naponta csak egy-két alkalommal idegesítik a dolgozókat a támadók, más esetekben viszont folyamatos a zaklatás.
Az érthetetlen belépési kérelmeket soha nem szabad jóváhagyni, gyanús jelenségek tapasztalása esetén a dolgozóknak fel kell venniük a kapcsolatot egy illetékessel.
Sajnos a multicégeknél gyakran nem világos a munkavállalók számára, hogy egyáltalán kihez kellene fordulniuk, plusz lassú és keserves ügyintézésre számíthatnak, így „csak nem lesz belőle baj, biztos valami műszaki hiba" alapon nagy lehet a kísértés az engedély megadására.
Automatizált rendszerrel természetesen szűrhető az MFA bombing, főleg az agresszív fajtája, de a jelek szerint számos kétlépcsős hitelesítési szolgáltatást nyújtó vállalat nem készült még fel a kezelésére, pedig annyira nem újdonság, a biztonsági szakmán belül már két éve felfigyeltek a jelenségre.
Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!
origo.hu
Elképesztő siker a történelmi jelentőségű magyar-kínai csúcstalálkozó
origo.hu
Hátborzongató felfedezés: földönkívüliekké alakulnak a Nemzetközi Űrállomáson
life.hu
Senki sem tudja ki ő, mégis mindenki róla beszél: fiatal milliárdos lopta el a showt a Met-gálán
vg.hu
Már nem Kína Németország első számú kereskedelmi partnere
metropol.hu
„Röfögést hallottam egy bokorból” - sosem jönnél rá, hogy milyen állatok kószálnak Óbudán
mandiner.hu
Ezzel a magyar közmondással nyűgözte le Sulyok Tamást a kínai elnök
origo.hu
Alufóliasisakos Magyar Péter: a röhögéstől fetreng az internet az újabb bukásán és elmebeteg magyarázkodásain - a legjobb mémek!
origo.hu
Lemondott a teljes orosz kormány
she.life.hu
Baráti körben– undercover összefogás (hirdetés)
origo.hu
Hamarosan rendkívüli bejelentést tesz Orbán Viktor és Hszi Csin-ping
origo.hu
Orbán Viktor és Hszi Csin-ping közös sajtónyilatkozatától hangos a nemzetközi sajtó
origo.hu
