Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Uživatelé e-mailu od Googlu by si měli dát pozor na nový útok

Bezpečnostní firmy varují před novým útokem, který je namířen především na majitele e-mailových schránek Gmail, ale pomalu se objevuje se i u jiných služeb.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J36i38ř32í 54H68u57d64e39c 4302611479502

Dvoufaktorová autorizace neeexistuje..,je to autentizace..Tzn..zjištění identity..autorizace(zjištění přístupových opravneni) je az následná.

+4/0
18.1.2017 23:08

P53e40t65r 66F68r76ý32d61e98k 7479581519373

Tak mozna Hillary by si mela dat pozor, me takovy jednoduchy trik nerozhazi.

0/0
18.1.2017 22:43

P91e23t50r 14K74ř88í35ž 2583574691291

hmm zajimave .... a ted bych se konecne rad docetl o tom novem utoku !

+8/−3
18.1.2017 21:07

M30a89r27t38i70n 92H14l73a16v71a59t95y 9591944377412

Nechapu, ze phishing jeste frci. Asi je porad dost lidi, kteri o takove trapne taktice jeste nevedi, ale to je holt jejich chyba, kdyz maj internet jen na facebook apod.

+1/−9
18.1.2017 20:53

A18d14a46m 88J79e80l27í76n44e24k 8349553718220

K dvoufázovému ověření:

Nejdříve je potřeba říci, že ověřit lze různými způsoby. Google mimo jiné umožňuje ověřit pomocí SMS nebo generátoru kódů a nebo potvrzením na telefonu.

Situace je nejhorší v případě potvrzení na telefonu. To probíhá tak, že na uživatele vyskočí obrazovka, která se ptá, zda-li se zrovna přihlašuje, nebo ne. A jelikož uživatel se v tuto chvíli skutečně chce přihlásit, přihlášení potvrdí a tím útočníkovi umožnil přístup.

V případě SMS i generátoru kódu je situace pro útočníka složitější v tom, že podvržená stránka musí automaticky vyžadovat zadání potvrzení. Ovšem méně obezřetný uživatel kód z SMS zadá a tím útočník opět obešel dvoufázové ověření.

Já se tedy nedomnívám, že v tomto okamžiku dvoufázové ověření zvyšuje zabezpečení.

Proti této formě útoku mi přijde nejefektivnější velice jednoduchá věc, kterou používá například Steam. Při kliknutí na odkaz, který směřuje mimo doménu dané služby, otevře nejdříve varovnou obrazovku, na které vás upozorňuje, že opouštíte web služby Steam a zeptá se vás, jestli si přejete pokračovat.

Pokud by toto implementovali poštovní služby, považoval bych to za dostatečnou ochranu přes jakýmkoli pishingem.

Dejte vědět, co si o tom myslíte, protože kybernetická bezpečnost je důležitá a týká se nás všech 8-o

+4/−3
18.1.2017 18:11

P90a94v70e45l 46K78u59r92f90ü15r42s83t 3448643425269

a jak útočník zjistí Vaše číslo k dvoufázovému ověření?

proti této formě útoku je nejefektivnější obezřetnost, zdravý rozum a využívání veškerých prvků ochrany, které provozovatel emailové služby nabízí..

+2/−1
18.1.2017 19:56

A89d18a47m 57J26e54l20í80n49e49k 8729503938550

Vy po kliknutí na odkaz vyplníte do podvržené stránky své přihlašovací údaje. Útočník sedící za svým vlastním počítačem tyto údaje ihned využije ke skutečnému přihlášení. V tom okamžiku musí zadat heslo z dvoufázového ověření (nebo jen potvrdit stisknutím telefonu). Proto vám zobrazí aktualizovanou podvrženou stránku, kam vy sám vyplníte kód dvoufázového ověření, protože máte stále ještě pocit, že se skutečně přihlašujete. A tím jest dílo dokonáno.

Samozřejmě to nebude dělat přímo útočník, ale program. Je to sice složitější, než napsat jednoduchou podvrženou stránku, ale jen o málo složitější.

Obecně řečeno dvoufázové ověření vás chrání proti "hrubému útoku", tedy že někdo vaše heslo uhodne. Potom vás to chrání tím, že útočníkovi zkrátka chybí něco, co máte jen vy - telefon.

Ovšem pokud útočník využívá formu tzv sociálního inženýrství, což pishing nepochybně je, útočníkovi to, co máte jen vy, prostě dáte. Tak jako jste mu řekl vaše přihlašovací jméno a heslo (třeba skrze podvrženou stránku), stejně tak mu řeknete kód z sms.

+3/−1
18.1.2017 22:20

M67i58c11h93a79l 63S34t23r58n57a80d 3253230418554

S tim google authenticatorem je to tak, ze by to muselo okamzite jit na ten vas email. Pujde tam o 30 vterin pozdeji a kod je mrtvy. Jinymi slovy jestli to hazi email a heslo do nejake db tak sice fajn, ale bez toho kodu se nedostane nikam dal...

Problem mam treba u MacBooku, kde pri otevreni mailu pres browser se me to zepta na 6cisel, ale ta se zobrazi jak na displeji MacBooku, tak na displeji iPhonu jelikoz tam mam synchronizovane imessages a sms. A to me docela stve...

+1/0
18.1.2017 23:13

A94d45a61m 43J28e34l26í17n24e94k 8469843898950

Já si to představuji tak, že na podvržených stránkách pojede jednoduchý skript, který ihned jméno a heslo vyzkouší a jestliže gmail vyžaduje kód z dvoufáze, ihned se na něj na podvržené stránce dotáže.

Pokud napsat takovýto skript není z nějakých technických důvodů možné, tím líp. Ale já se domnívám, že je to pro útočníky pouze nerentabilní - vzhledem k vyšší složitosti a počtu uživatelů s dvoufází, který jistě nebude moc vysoký, ovšem možné.

Nicméně pokud to nedělají dnes, nikde není psáno, že to neudělají zítra. Vývoj jde bohužel dopředu i v tomto odvětví lidské "tvořivosti".

Úplně nerozumím, proč je číslo zobrazené na mobilu i macu problém. Myslíte v případě, kdyby vám někdo například ukradl mac?

0/0
19.1.2017 11:08

A96d16a19m 98J45e47l83í82n49e83k 8779903768580

Předpokládám, že mínusy jsem dostal proto, že to některým lidem nedává smysl. Abych to tedy upřesnil - v mnou popsané situaci nepředpokládám, že podvržená stránka uživatelské jméno a heslo pouze uloží do databáze útočníka, ale pomocí skriptu rovnou použije k přihlášení.

Pokud jsem dostal mínusy kvůli něčemu zcela jinému - třeba že to říkám naprosto špatně, mohli by mě dotyční opravit? Rád se přiučím něčemu novému. :-)

0/0
19.1.2017 11:13

G89a75b11r41i78e34l 54H13o20r16t74e31n 9501509853984

Nechápu. To má někde Gmail tak hloupě navržené rozhraní, že uživatel na první pohled nerozezná klasickou přílohu od obrázku v HTML části zprávy?

+2/−3
18.1.2017 16:40

P43a78v44e27l 61K50u71r25f76ü92r71s22t 3948763645369

login stránka do emailu je docela jednoduchá, a mnoho uživatelů do levého rohu na SSL certifikát taky nekouká, navíc, málo kdo ví, že existuje něco jako bílé znaky v URL..

+2/0
18.1.2017 19:58

R56o67b27e48r93t 14M15á64s50l92o 1951121337237

I kdyby byla sebesložitější tak není problém si jí načíst a následně zveřejnit na falešném serveru.

0/0
19.1.2017 0:21

P96a42v95e50l 50K98r56a59l 4968489139842

Zajímalo by mě, jak by uspěli, pokud má uživatel Gmailu nastavené dvoufázové ověření účtu. :-P

+2/−1
18.1.2017 14:32
Foto

P63a85v62e41l 18K43a50s48í73k82, 32T47e14c38h73n78e75t67.54c68z

To je dobrá otázka. Mělo by to hodně pomoci, ovšem čistě teoreticky by na to mohli vyzrát tím man-in-the-middle útokem. Vy byste měl pocit, že se dvoufázově přihlašujete a oni by ta vaše data dávali do skutečného formuláře. Ale to by fungovalo spíše u cíleného útoku, ne při automatizovaném masové phishingu. A výše uvedené je jen moje spekulace.

+2/0
18.1.2017 15:09

K90a63r95e38l 26P54o36d65h79o96r69s78k45y 3185503282115

Pokud se rovnou po zadani udaju budou prihlasovat, tak to akorat obeti blikne na mobilu a ta to potvrdi, protoze se prece prave prihlasuje (vyzkousel jsem to ted na mobilu s androidem).

Takze v tomto pripade 2 fazovy overovani nechrani nic.

0/0
18.1.2017 16:03

P19a84v61e61l 84K48u24r19f57ü45r21s35t 3768823385929

vycházíme ovšem z předpokladu, že by se útočníkovi podařilo získat Vaše číslo k ověření

+1/−1
18.1.2017 19:59

K43a92r10e89l 34P25o62d17h84o68r76s22k53y 3115953872545

Ne, ten nic takoveho nepotrebuje. Defaultni google prompt funguje tak, ze utocnikovi v browseru blikne hlaska, at na mobilu potvrdi prihlaseni (to muze preposlat obeti a nemusi). Obeti na mobilu vyskoci tlacitko at potvrdi prihlaseni a ta to nejspis udela nebot si mysli, ze se prihlasuje. No a to je cele, utocnika to samo pusti dal, nemusel delat vubec nic.

0/0
18.1.2017 23:44
Foto

J77i65ř82í 91Č17e16c24h 3818281673189

hmmm a kdo dá útočníkovi k dispozici můj mobil, aby ověřil esemeskou přihlášení lupo?

0/−11
18.1.2017 14:16

M24a39r12t23i41n 84M11a25i50k38s76n92a31r 3544753258712

Jop, to taky nevim :)

0/−1
18.1.2017 14:21

J11a65n 56S49t33a80d98n27i54k 1112355856844

Na savci ti to možná jde, ale se čtením je to horší: Ochranou před podobnými útoky je vedle obezřetnosti především dvoufázová autorizace, kterou většina e-mailových služeb nabízí.

Zdroj: http://technet.idnes.cz/utok-na-gmail-0cq-/kratke-zpravy.aspx?c=A170118_115016_tec-kratke-zpravy_vse

+4/−1
18.1.2017 14:22

H18a15n56a 54P91r54o65k62o79p68o98v79á 8479250103711

"Ochranou před podobnými útoky je vedle obezřetnosti především dvoufázová autorizace, kterou většina e-mailových služeb nabízí."

Asi by to chtělo číst do konce...

+4/−1
18.1.2017 14:23

V61á47c40l89a51v 79P62o21u67s90t58k13a 3950851832

Co je tohle za otázku?

0/0
18.1.2017 14:23

P75a38v64e30l 70K46r76a62l 4318599199312

Účet Google jde ochránit tzv. dvoufázovým ověřením, kdy kromě hesla se zadává i kód, který je odeslán na mobil.

+1/0
18.1.2017 14:39

M95a56r68o84š 65P97o54l92i62a93k 1942436377516

Kterazto druha faze muze byt utocnikem take nasimulovana, pac zna z prvni faze prihlasovaci udaje...

+2/0
18.1.2017 15:36

M45o85j11m95í61r 66M93o83t33y51č82k93a 3382355834840

Teoreticky - pokud v těch přihlašovacích údajích bude i číslo toho mobilu na který se posílá ověřovací kód. Což asi těžko.

0/0
18.1.2017 15:44

M19a40r42o58š 65P64o98l15i92a15k 1512916307806

Gmail pokud vim pri overovani posle sms automaticky, nepta se na cislo... Ale mozna to je jinak, uz dloooouho jsem gmail nepouzil.

0/0
18.1.2017 15:45

K42a30r91e28l 10P89o60d35h96o52r36s21k32y 3275123702685

Je to udelane tak, ze na mobilu to blikne ze se nekdo prihlasuje a protoze to je ten uzivatel, tak to potvrdi, utocnik nemusi delat nic.

0/0
18.1.2017 16:01

T28o19m77a84s 64K11o78h85o80u86t 5946134568248

To je sice hezké zvýšení zabezpečení, ale musíte vědět, před čím vás ochrání. Takže... Dvoufázové ověření chrání před před prostým vyzrazením přihlašovacích údajů (odposlechnutím, uhodnutím, vyžvaněním, nalepením papírku na monitor...). Přidává ke kontrole typu "něco znám" (heslo) kontrolu "...a něco unikátního a osobního mám" (jiné zařízení, přes které projde druhé ověření)

Bohužel vás neuchrání před útokem "man in the middle" (přihlašujete se přes prostředníka, aniž o tom víte).

To pak proběhne takto:

1. prostředník vám podvrhne web s formulářem, který vypadá jako přihlašování do dané služby, navíc v okamžiku, kdy přihlášení více méně očekáváte.

2. Vy na podvrženém formuláři vyplníte své jméno a heslo a odešlete útočníkovi

3. Útočník odešle vaše přihlašovací údaje "vaším jménem" do skutečně služby.

4. Služba si na útočníkovi vyžádá potvrzení PIN kódem zaslaným na mobil oběti (otevře útočníkovi další formulář s kolonkou pro zadání PIN)

5. Útočník si "vynutí" u oběti otevření dalšího podvrženého formuláře, kterým se na PIN zeptá - to je nejkritičtější a technicky nejnáročnější část podvodu - dynamické zobrazení formuláře na straně oběti)

6. Oběť v dobré víře opíše na podvrženém formuláři i PIN, odešle...

7. ...a útočník PIN přebírá a zapisuje do skutečného formuláře. Hotovo!

+6/0
18.1.2017 19:34







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.