אז יצרת אסיסמה חזקה, השגיח עלקישורים משורטטים, ומופעלאימות דו-גורמי- מה יכול להשתבש?
ובכן, מסתבר שהתשובה היא "אתה".
בתור הדו"ח ה-NSA הודלףעל המאמצים הרוסיים לפרוץ למחשבים של פקידי בחירות בארה"ב לפני הפגנות הבחירות לנשיאות ב-2016, כולנו לרוב חולשתנו הביטחונית הגדולה ביותר. המסמך, שפורסם על ידיהיירוט, מראה שהאקרים מצאו דרך לעקוף את ההגנות שמציעות אימות דו-גורמי הבולט בפשטותו: הם ביקשו מהמטרות את קודי האימות שלהם.
"אם הקורבן איפשר בעבר אימות דו-גורמי (2FA)", מסביר שקופית המפרטת את המתקפה הרוסית, "האתר הנשלט על ידי השחקן יבקש עוד יותר מהקורבן לספק את מספר הטלפון שלו ואת קוד האימות הלגיטימי של Google שנשלח אל הטלפון שלהם."
לתרגום, לאחר שהוליכו קורבנות להזין את האימייל והסיסמה שלהם לאתר גוגל מזויף, ההאקרים גילו שלחלק מהקורבנות הוגדר 2FA בחשבונות שלהם. המשמעות היא שאפילו עם הסיסמה, האקרים לא הצליחו לקבל גישה לחשבונות הג'ימייל המדוברים - כלומר, אלא אם כן הם יכלו לקבל גם את קודי האימות.
מהירות אור ניתנת לריסוק
אז, שוב, הם פשוט ישר ביקשו אותם.
גישה צעד אחר צעד. קרדיט: nsa/היירט
"ברגע שהקורבן סיפק מידע זה לאתר הנשלט על ידי השחקן, הוא יועבר לשירות לגיטימי של גוגל, אך רק לאחר ששחקנים [מודרכים] השיגו בהצלחה את הסיסמה של הקורבן (ואם דו-גורמים, מספר טלפון וקוד אימות של גוגל ) המשויך לחשבון האימייל הספציפי הזה."
בעיקרון, ההאקרים הצליחו לעקוף את אמצעי אבטחת האימייל על ידי בקשה מהקורבנות לתת להם את המפתחות לטירה הדיגיטלית.
לאחר שהושגה גישה לחשבונות, שלפי הדיווחים היו שייכים לספק הצבעה אלקטרונית, ההאקרים שלחו דוא"ל לפקידי בחירות מהחשבונות הפרוצים וינסו להערים על אותם פקידים לפתוח מסמכי Word עמוסי תסריטים שיסכנו את המחשבים שלהם.
מדובר בקטע משוכלל של פישינג בחנית, והוא מזכיר לנו שלא משנה אילו נוהלי אבטחה דיגיטליים נפעיל, כולנו עדיין יכולים לחמוק.
מול איומים מקוונים יומיומיים, ההגנה הטובה ביותר (מלבד הגדרת 2FA - מה שבהחלט אתה עדיין צריך לעשות) עשויה להיות הפשוטה ביותר: היזהר עם כל אימייל שאתה מקבל, ולהיות פרנואיד כמו לעזאזל.
מול האקרים רוסים מיומנים? ובכן, זה יותר מסובך, אבל אולי תתחיל עם אי מסירת סיסמת הדוא"ל, מספר הטלפון וקוד האימות 2FA שלך.
