Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Uživatelé e-mailu od Googlu by si měli dát pozor na nový útok

Bezpečnostní firmy varují před novým útokem, který je namířen především na majitele e-mailových schránek Gmail, ale pomalu se objevuje se i u jiných služeb.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J54i71ř53í 78H46u97d15e10c 4112791909972

Dvoufaktorová autorizace neeexistuje..,je to autentizace..Tzn..zjištění identity..autorizace(zjištění přístupových opravneni) je az následná.

+4/0
18.1.2017 23:08

P73e51t76r 43F13r51ý45d96e83k 7719961449253

Tak mozna Hillary by si mela dat pozor, me takovy jednoduchy trik nerozhazi.

0/0
18.1.2017 22:43

P88e98t68r 19K38ř42í50ž 2363884891741

hmm zajimave .... a ted bych se konecne rad docetl o tom novem utoku !

+8/−3
18.1.2017 21:07

M55a10r31t92i92n 29H41l11a42v91a97t31y 9241834107972

Nechapu, ze phishing jeste frci. Asi je porad dost lidi, kteri o takove trapne taktice jeste nevedi, ale to je holt jejich chyba, kdyz maj internet jen na facebook apod.

+1/−9
18.1.2017 20:53

A91d30a75m 70J10e56l43í31n19e16k 8419903518580

K dvoufázovému ověření:

Nejdříve je potřeba říci, že ověřit lze různými způsoby. Google mimo jiné umožňuje ověřit pomocí SMS nebo generátoru kódů a nebo potvrzením na telefonu.

Situace je nejhorší v případě potvrzení na telefonu. To probíhá tak, že na uživatele vyskočí obrazovka, která se ptá, zda-li se zrovna přihlašuje, nebo ne. A jelikož uživatel se v tuto chvíli skutečně chce přihlásit, přihlášení potvrdí a tím útočníkovi umožnil přístup.

V případě SMS i generátoru kódu je situace pro útočníka složitější v tom, že podvržená stránka musí automaticky vyžadovat zadání potvrzení. Ovšem méně obezřetný uživatel kód z SMS zadá a tím útočník opět obešel dvoufázové ověření.

Já se tedy nedomnívám, že v tomto okamžiku dvoufázové ověření zvyšuje zabezpečení.

Proti této formě útoku mi přijde nejefektivnější velice jednoduchá věc, kterou používá například Steam. Při kliknutí na odkaz, který směřuje mimo doménu dané služby, otevře nejdříve varovnou obrazovku, na které vás upozorňuje, že opouštíte web služby Steam a zeptá se vás, jestli si přejete pokračovat.

Pokud by toto implementovali poštovní služby, považoval bych to za dostatečnou ochranu přes jakýmkoli pishingem.

Dejte vědět, co si o tom myslíte, protože kybernetická bezpečnost je důležitá a týká se nás všech 8-o

+4/−3
18.1.2017 18:11

P57a46v62e86l 67K57u51r24f14ü90r52s64t 3438813955109

a jak útočník zjistí Vaše číslo k dvoufázovému ověření?

proti této formě útoku je nejefektivnější obezřetnost, zdravý rozum a využívání veškerých prvků ochrany, které provozovatel emailové služby nabízí..

+2/−1
18.1.2017 19:56

A46d94a54m 42J51e43l68í23n14e54k 8539873708820

Vy po kliknutí na odkaz vyplníte do podvržené stránky své přihlašovací údaje. Útočník sedící za svým vlastním počítačem tyto údaje ihned využije ke skutečnému přihlášení. V tom okamžiku musí zadat heslo z dvoufázového ověření (nebo jen potvrdit stisknutím telefonu). Proto vám zobrazí aktualizovanou podvrženou stránku, kam vy sám vyplníte kód dvoufázového ověření, protože máte stále ještě pocit, že se skutečně přihlašujete. A tím jest dílo dokonáno.

Samozřejmě to nebude dělat přímo útočník, ale program. Je to sice složitější, než napsat jednoduchou podvrženou stránku, ale jen o málo složitější.

Obecně řečeno dvoufázové ověření vás chrání proti "hrubému útoku", tedy že někdo vaše heslo uhodne. Potom vás to chrání tím, že útočníkovi zkrátka chybí něco, co máte jen vy - telefon.

Ovšem pokud útočník využívá formu tzv sociálního inženýrství, což pishing nepochybně je, útočníkovi to, co máte jen vy, prostě dáte. Tak jako jste mu řekl vaše přihlašovací jméno a heslo (třeba skrze podvrženou stránku), stejně tak mu řeknete kód z sms.

+3/−1
18.1.2017 22:20

M10i19c90h43a50l 83S60t95r41n50a50d 3153710798574

S tim google authenticatorem je to tak, ze by to muselo okamzite jit na ten vas email. Pujde tam o 30 vterin pozdeji a kod je mrtvy. Jinymi slovy jestli to hazi email a heslo do nejake db tak sice fajn, ale bez toho kodu se nedostane nikam dal...

Problem mam treba u MacBooku, kde pri otevreni mailu pres browser se me to zepta na 6cisel, ale ta se zobrazi jak na displeji MacBooku, tak na displeji iPhonu jelikoz tam mam synchronizovane imessages a sms. A to me docela stve...

+1/0
18.1.2017 23:13

A90d98a49m 22J15e93l95í96n25e15k 8139933738630

Já si to představuji tak, že na podvržených stránkách pojede jednoduchý skript, který ihned jméno a heslo vyzkouší a jestliže gmail vyžaduje kód z dvoufáze, ihned se na něj na podvržené stránce dotáže.

Pokud napsat takovýto skript není z nějakých technických důvodů možné, tím líp. Ale já se domnívám, že je to pro útočníky pouze nerentabilní - vzhledem k vyšší složitosti a počtu uživatelů s dvoufází, který jistě nebude moc vysoký, ovšem možné.

Nicméně pokud to nedělají dnes, nikde není psáno, že to neudělají zítra. Vývoj jde bohužel dopředu i v tomto odvětví lidské "tvořivosti".

Úplně nerozumím, proč je číslo zobrazené na mobilu i macu problém. Myslíte v případě, kdyby vám někdo například ukradl mac?

0/0
19.1.2017 11:08

A13d97a36m 42J17e39l64í33n89e62k 8599613448570

Předpokládám, že mínusy jsem dostal proto, že to některým lidem nedává smysl. Abych to tedy upřesnil - v mnou popsané situaci nepředpokládám, že podvržená stránka uživatelské jméno a heslo pouze uloží do databáze útočníka, ale pomocí skriptu rovnou použije k přihlášení.

Pokud jsem dostal mínusy kvůli něčemu zcela jinému - třeba že to říkám naprosto špatně, mohli by mě dotyční opravit? Rád se přiučím něčemu novému. :-)

0/0
19.1.2017 11:13

G11a11b91r62i51e34l 96H61o87r31t70e17n 9161239933274

Nechápu. To má někde Gmail tak hloupě navržené rozhraní, že uživatel na první pohled nerozezná klasickou přílohu od obrázku v HTML části zprávy?

+2/−3
18.1.2017 16:40

P44a79v65e32l 76K47u52r78f38ü71r28s36t 3758583585559

login stránka do emailu je docela jednoduchá, a mnoho uživatelů do levého rohu na SSL certifikát taky nekouká, navíc, málo kdo ví, že existuje něco jako bílé znaky v URL..

+2/0
18.1.2017 19:58

R41o61b48e24r13t 20M41á32s39l15o 1451481217467

I kdyby byla sebesložitější tak není problém si jí načíst a následně zveřejnit na falešném serveru.

0/0
19.1.2017 0:21

P31a58v19e95l 45K24r81a77l 4358339639492

Zajímalo by mě, jak by uspěli, pokud má uživatel Gmailu nastavené dvoufázové ověření účtu. :-P

+2/−1
18.1.2017 14:32
Foto

P82a22v61e78l 35K21a71s21í60k73, 61T54e12c41h69n34e98t46.41c17z

To je dobrá otázka. Mělo by to hodně pomoci, ovšem čistě teoreticky by na to mohli vyzrát tím man-in-the-middle útokem. Vy byste měl pocit, že se dvoufázově přihlašujete a oni by ta vaše data dávali do skutečného formuláře. Ale to by fungovalo spíše u cíleného útoku, ne při automatizovaném masové phishingu. A výše uvedené je jen moje spekulace.

+2/0
18.1.2017 15:09

K40a27r35e95l 77P65o61d23h41o59r82s22k89y 3495703572205

Pokud se rovnou po zadani udaju budou prihlasovat, tak to akorat obeti blikne na mobilu a ta to potvrdi, protoze se prece prave prihlasuje (vyzkousel jsem to ted na mobilu s androidem).

Takze v tomto pripade 2 fazovy overovani nechrani nic.

0/0
18.1.2017 16:03

P77a36v19e36l 48K35u69r83f57ü50r42s82t 3228523365859

vycházíme ovšem z předpokladu, že by se útočníkovi podařilo získat Vaše číslo k ověření

+1/−1
18.1.2017 19:59

K32a42r52e93l 36P82o57d54h19o96r29s24k77y 3425223902975

Ne, ten nic takoveho nepotrebuje. Defaultni google prompt funguje tak, ze utocnikovi v browseru blikne hlaska, at na mobilu potvrdi prihlaseni (to muze preposlat obeti a nemusi). Obeti na mobilu vyskoci tlacitko at potvrdi prihlaseni a ta to nejspis udela nebot si mysli, ze se prihlasuje. No a to je cele, utocnika to samo pusti dal, nemusel delat vubec nic.

0/0
18.1.2017 23:44
Foto

J76i88ř68í 15Č96e13c77h 3108351923189

hmmm a kdo dá útočníkovi k dispozici můj mobil, aby ověřil esemeskou přihlášení lupo?

0/−11
18.1.2017 14:16

M21a79r58t47i39n 85M13a27i38k14s25n50a53r 3614813388372

Jop, to taky nevim :)

0/−1
18.1.2017 14:21

J50a69n 78S18t30a90d23n75i46k 1272265456484

Na savci ti to možná jde, ale se čtením je to horší: Ochranou před podobnými útoky je vedle obezřetnosti především dvoufázová autorizace, kterou většina e-mailových služeb nabízí.

Zdroj: http://technet.idnes.cz/utok-na-gmail-0cq-/kratke-zpravy.aspx?c=A170118_115016_tec-kratke-zpravy_vse

+4/−1
18.1.2017 14:22

H25a36n56a 63P45r97o26k70o75p47o56v18á 8739690713731

"Ochranou před podobnými útoky je vedle obezřetnosti především dvoufázová autorizace, kterou většina e-mailových služeb nabízí."

Asi by to chtělo číst do konce...

+4/−1
18.1.2017 14:23

V61á44c31l48a71v 84P33o39u13s59t67k33a 3630481852

Co je tohle za otázku?

0/0
18.1.2017 14:23

P10a92v65e98l 24K95r97a45l 4408209789922

Účet Google jde ochránit tzv. dvoufázovým ověřením, kdy kromě hesla se zadává i kód, který je odeslán na mobil.

+1/0
18.1.2017 14:39

M40a60r22o26š 53P13o72l98i64a10k 1262756637706

Kterazto druha faze muze byt utocnikem take nasimulovana, pac zna z prvni faze prihlasovaci udaje...

+2/0
18.1.2017 15:36

M39o16j94m66í13r 51M83o17t31y73č76k15a 3732135644450

Teoreticky - pokud v těch přihlašovacích údajích bude i číslo toho mobilu na který se posílá ověřovací kód. Což asi těžko.

0/0
18.1.2017 15:44

M85a18r61o15š 39P98o51l47i50a79k 1602756867446

Gmail pokud vim pri overovani posle sms automaticky, nepta se na cislo... Ale mozna to je jinak, uz dloooouho jsem gmail nepouzil.

0/0
18.1.2017 15:45

K91a49r32e60l 34P67o39d44h53o75r51s56k53y 3895513752965

Je to udelane tak, ze na mobilu to blikne ze se nekdo prihlasuje a protoze to je ten uzivatel, tak to potvrdi, utocnik nemusi delat nic.

0/0
18.1.2017 16:01

T97o94m10a64s 39K67o12h65o10u17t 5536284618708

To je sice hezké zvýšení zabezpečení, ale musíte vědět, před čím vás ochrání. Takže... Dvoufázové ověření chrání před před prostým vyzrazením přihlašovacích údajů (odposlechnutím, uhodnutím, vyžvaněním, nalepením papírku na monitor...). Přidává ke kontrole typu "něco znám" (heslo) kontrolu "...a něco unikátního a osobního mám" (jiné zařízení, přes které projde druhé ověření)

Bohužel vás neuchrání před útokem "man in the middle" (přihlašujete se přes prostředníka, aniž o tom víte).

To pak proběhne takto:

1. prostředník vám podvrhne web s formulářem, který vypadá jako přihlašování do dané služby, navíc v okamžiku, kdy přihlášení více méně očekáváte.

2. Vy na podvrženém formuláři vyplníte své jméno a heslo a odešlete útočníkovi

3. Útočník odešle vaše přihlašovací údaje "vaším jménem" do skutečně služby.

4. Služba si na útočníkovi vyžádá potvrzení PIN kódem zaslaným na mobil oběti (otevře útočníkovi další formulář s kolonkou pro zadání PIN)

5. Útočník si "vynutí" u oběti otevření dalšího podvrženého formuláře, kterým se na PIN zeptá - to je nejkritičtější a technicky nejnáročnější část podvodu - dynamické zobrazení formuláře na straně oběti)

6. Oběť v dobré víře opíše na podvrženém formuláři i PIN, odešle...

7. ...a útočník PIN přebírá a zapisuje do skutečného formuláře. Hotovo!

+6/0
18.1.2017 19:34







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.