Kombinace e-mailových adres, uživatelských jmen a hesel už dávno nepředstavují dostatečnou ochranu. Ať už jde o únik dat nebo phishingové útoky, podvodníci mají často rozsáhlé portfolio metod, jejichž použitím mohou získat přístupové údaje svých obětí. Právě proto bylo vytvořeno dvoufaktorové ověřování. Jedná se o mechanizmus dvojího přihlášení, který kyberzločincům brání v provádění zamýšlených transakcí, i když mají potřebné přihlašovací údaje. Jak ale uvádí portál Motherboard, který je technologickou součástí The Vice, ve svém příspěvku s názvem "The Booming Underground Market for Bots That Steal Your 2FA Codes", ani to už nemusí stačit a 2FA lze obejít.
Z pohledu oběti vypadá celý proces následovně: přijmete například automatický hovor služby PayPal a počítačový hlas vám oznámí, že se někdo pokusil převést určitou částku peněz z vašeho účtu PayPal. Bot vás vyzve o ověření totožnosti, aby mohl převod zablokovat. Za tímto účelem je uživateli e-mailem, SMS zprávou nebo aplikací Auhtenticator (podle aktuálně nastavené metody) zaslán 2FA kód, který je potřeba sdělit údajnému botu PayPal. Jakmile se tak stane, počítačový hlas oznámí, že provedená platba bude vrácena do 24 až 48 hodin. Bot, testovaný serverem Motherboard, dokonce sdělil referenční ID, které má zajistit další důvěryhodnost. Oběti se ale mohou s částou rozloučit.
Nebezpečí u online služeb: heslo s 2FA nestačí
Nejnovějšími metodami podvodu se zločinci dokonce snaží obejít 2FA. | Zdroj: wuestenigel/Foter.com
Bot je samozřejmě past, která nemá se službou PayPal vůbec nic společného. Kybernetičtí zločinci už dříve využili úniku dat nebo phishingového útoku k získání přístupových údajů a telefonního čísla. Ty však často k získání přístupu k účtům nestačí. Při pokusu o přihlášení z nového zařízení totiž mnohé služby požadují dodatečné potvrzení (pokud je zapnuto) a o takovém pokusu majitele účtu informují.
Za tímto účelem se odesílá legitimní kód 2FA nebo jednorázové heslo – a právě to mají zjistit automatizované systémy. Výše popsaným způsobem podvodníci získávají plný přístup k účtům obětí a mohou spravovat jejich finance podle vlastních představ. Občas se tímto způsobem lze zmocnit i bankovních účtů.
Robotičtí podvodníci: jak se můžete chránit
Jak uvedl jeden z dodavatelů automatizovaných softwarových botů pro server Motherboard, vypadá to, že poptávka po botech 2FA roste, zatímco náklady klesají. Prodávají se například prostřednictvím chatů na Telegramu a kyberzločinci tento software otevřeně inzerují na platformách, jako je například YouTube. Cena je v řádech stovek USD.
Přestože jsou boty 2FA nebezpečným nástroje, uživatelé se mohou chránit poměrně snadno. Stačí nikomu nepředávat žádné kódy nebo informace, důležité z hlediska bezpečnosti. Firmy je zpravidla nepotřebují, a proto jsou podobné žádosti zvlášť prostřednictvím telefonu krajně podezřelé. Takové kódy by neměli digitální cestou dostávat ani přátelé. Podobný princip podvodníci zneužívají například i k ovládnutí uživatelských účtů v aplikaci WhatsApp. Ty poté zneužívají k vyhledávání dalších obětí.