Двухэтапная аутентификация — не 100% гарантия защиты.

Двухэтапная аутентификация. Хорошая идея, но на практике только упрощающая получение доступа к вашим данным, т.к. включает в себя слишком много дополнительных участников, которые тоже могут иметь свои уязвимости.

Давно собирался написать об этом, но как то не доходили руки. На днях уже на себе ощутив всю прелесть данного метода защиты, решил что время таки пришло.

Итак, двухэтапная аутентификация подразумевает под собой дополнительную защиту ваших электронных данных через привязку мобильного телефона и подтверждения входов или иных операций через SMS.

Ситуация: человек теряет телефон.

В моем случае, не новый, но любимый, телефон подаренный девушке. Спустя пол часа после «утери» его успешно отвязывают от iCloud. На телефоне был установлен нестандартный пароль разблокировки, активирован TouchID, пароль iCloud уверенно попадает под категорию сложных. Телефон блокирован через службу FindMyIphone.

Первый кейс.

Злоумышленник узнает Apple ID под который подвязан телефон, а также номер телефона. Методов для этого — на любой вкус, так что пропустим этот момент. Допустим это почта зарегистрированная в Google.

Стоит отметить, что процедура восстановления доступа к аккаунту Apple, может отличаться и в некоторых случаях подразумевать и более легкий способ — выбор в форме восстановления доступа к аккаунту «телефон» и получения кода для ввода пароля напрямую на сайте Apple ID. Способ работает в случае, если устройство уже некоторое время закреплено за учетной записью и защищено паролем или TouchID. Не будем останавливаться на этом.

Второй кейс.

Предположим, злоумышленнику требуется получить доступ к данным, но телефона к которому подключено подтверждение через номер доступа нет. Более того, в отличии от первого кейса, злоумышленник изначально знает «кого» он пытается взломать. Целью выступает почта.

Выше я указывал, что такие действия обычно выполняются в ночное время суток. Расчет на то, что при получении SMS с кодом, жертва его не увидит т.к. будет спать. Если же личный кабинет мобильного оператора жертвы взлома поддерживает функцию установки переадресации SMS сообщений, время суток перестаёт играть роль.

Третий кейс.

Кейс может быть применен, когда жертва взлома представляет определенный финансовый или личный интерес, лежащий за пределами «почитать переписку в соц. сети» или разблокировать ворованный телефон. Третий кейс идентичен второму, однако подразумевает большие денежные затраты.

Несложно найти человека, который будет устроен на работу в КЦ интересующего оператора связи, где уже с первых дней стажировки, этому сотруднику представят личный пароль к системе обслуживания абонентов, в том числе к функции просмотра детализации звонков (с или без последних цифр, возможно), а так же панели управления пользовательскими сервисами, в том числе переадресациями, о которых писал в кейсе выше.

Возможно, личный пароль будет предоставлен позже, в таком случае, обучение нового сотрудника производят на логине\пароле уже опытного сотрудника КЦ, который с большей долей вероятности уже имеет доступ ко всем нужным функциям. Данный кейс затратен, только если не с чем сравнивать и, разумеется, целиком зависит от цели.

Используя приведенные элементарные кейсы, или их вариации, на которых нет смысла останавливаться, достаточно несложно получить доступы к различным сервисам и кабинетам. К сожалению, хорошо работающие меры защиты при комбинировании, порой, могут дать обратный результат лишь повысив шанс взлома.

Методы защиты: не использовать двухэтапную аутентификацию в любых важных сервисах. По возможности, избегать добавки используемого номера телефона в любых интернет сервисах, даже если номер в итоге скрыт настройками приватности. Он может быть скрыт из отображения, но получен через средства поиска или восстановления паролей этих же самых сервисов.

В части операторов связи действуют иные процедуры обслуживания абонентов, в той или иной мере повышающие безопасность пользователя, однако в любом случае — вопрос лишь в том, насколько лично вы интересны тому, кто будет работать над получением доступа к вашим личным данным. Кроме того, я постарался поверхностно описать возможные и проверенные векторы атаки, но это не означает, что я описал их все, как не означает и то, что защищаясь от одних, мы не подставимся под другие