Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Uživatelé e-mailu od Googlu by si měli dát pozor na nový útok

Bezpečnostní firmy varují před novým útokem, který je namířen především na majitele e-mailových schránek Gmail, ale pomalu se objevuje se i u jiných služeb.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J77i41ř64í 70H20u94d15e94c 4172501969322

Dvoufaktorová autorizace neeexistuje..,je to autentizace..Tzn..zjištění identity..autorizace(zjištění přístupových opravneni) je az následná.

+4/0
18.1.2017 23:08

P84e84t64r 47F30r62ý92d67e59k 7189231749423

Tak mozna Hillary by si mela dat pozor, me takovy jednoduchy trik nerozhazi.

0/0
18.1.2017 22:43

P80e34t10r 31K11ř70í78ž 2393944211771

hmm zajimave .... a ted bych se konecne rad docetl o tom novem utoku !

+8/−3
18.1.2017 21:07

M52a69r16t74i73n 53H83l56a40v32a47t37y 9811204397932

Nechapu, ze phishing jeste frci. Asi je porad dost lidi, kteri o takove trapne taktice jeste nevedi, ale to je holt jejich chyba, kdyz maj internet jen na facebook apod.

+1/−9
18.1.2017 20:53

A42d84a46m 69J27e88l38í38n69e14k 8729163788270

K dvoufázovému ověření:

Nejdříve je potřeba říci, že ověřit lze různými způsoby. Google mimo jiné umožňuje ověřit pomocí SMS nebo generátoru kódů a nebo potvrzením na telefonu.

Situace je nejhorší v případě potvrzení na telefonu. To probíhá tak, že na uživatele vyskočí obrazovka, která se ptá, zda-li se zrovna přihlašuje, nebo ne. A jelikož uživatel se v tuto chvíli skutečně chce přihlásit, přihlášení potvrdí a tím útočníkovi umožnil přístup.

V případě SMS i generátoru kódu je situace pro útočníka složitější v tom, že podvržená stránka musí automaticky vyžadovat zadání potvrzení. Ovšem méně obezřetný uživatel kód z SMS zadá a tím útočník opět obešel dvoufázové ověření.

Já se tedy nedomnívám, že v tomto okamžiku dvoufázové ověření zvyšuje zabezpečení.

Proti této formě útoku mi přijde nejefektivnější velice jednoduchá věc, kterou používá například Steam. Při kliknutí na odkaz, který směřuje mimo doménu dané služby, otevře nejdříve varovnou obrazovku, na které vás upozorňuje, že opouštíte web služby Steam a zeptá se vás, jestli si přejete pokračovat.

Pokud by toto implementovali poštovní služby, považoval bych to za dostatečnou ochranu přes jakýmkoli pishingem.

Dejte vědět, co si o tom myslíte, protože kybernetická bezpečnost je důležitá a týká se nás všech 8-o

+4/−3
18.1.2017 18:11

P91a89v72e86l 93K60u56r27f92ü15r33s66t 3448193425969

a jak útočník zjistí Vaše číslo k dvoufázovému ověření?

proti této formě útoku je nejefektivnější obezřetnost, zdravý rozum a využívání veškerých prvků ochrany, které provozovatel emailové služby nabízí..

+2/−1
18.1.2017 19:56

A28d21a70m 75J45e54l58í50n59e62k 8419763148680

Vy po kliknutí na odkaz vyplníte do podvržené stránky své přihlašovací údaje. Útočník sedící za svým vlastním počítačem tyto údaje ihned využije ke skutečnému přihlášení. V tom okamžiku musí zadat heslo z dvoufázového ověření (nebo jen potvrdit stisknutím telefonu). Proto vám zobrazí aktualizovanou podvrženou stránku, kam vy sám vyplníte kód dvoufázového ověření, protože máte stále ještě pocit, že se skutečně přihlašujete. A tím jest dílo dokonáno.

Samozřejmě to nebude dělat přímo útočník, ale program. Je to sice složitější, než napsat jednoduchou podvrženou stránku, ale jen o málo složitější.

Obecně řečeno dvoufázové ověření vás chrání proti "hrubému útoku", tedy že někdo vaše heslo uhodne. Potom vás to chrání tím, že útočníkovi zkrátka chybí něco, co máte jen vy - telefon.

Ovšem pokud útočník využívá formu tzv sociálního inženýrství, což pishing nepochybně je, útočníkovi to, co máte jen vy, prostě dáte. Tak jako jste mu řekl vaše přihlašovací jméno a heslo (třeba skrze podvrženou stránku), stejně tak mu řeknete kód z sms.

+3/−1
18.1.2017 22:20

M79i77c76h22a39l 57S63t93r25n78a47d 3253900418464

S tim google authenticatorem je to tak, ze by to muselo okamzite jit na ten vas email. Pujde tam o 30 vterin pozdeji a kod je mrtvy. Jinymi slovy jestli to hazi email a heslo do nejake db tak sice fajn, ale bez toho kodu se nedostane nikam dal...

Problem mam treba u MacBooku, kde pri otevreni mailu pres browser se me to zepta na 6cisel, ale ta se zobrazi jak na displeji MacBooku, tak na displeji iPhonu jelikoz tam mam synchronizovane imessages a sms. A to me docela stve...

+1/0
18.1.2017 23:13

A60d54a28m 95J72e85l61í44n13e81k 8479403328360

Já si to představuji tak, že na podvržených stránkách pojede jednoduchý skript, který ihned jméno a heslo vyzkouší a jestliže gmail vyžaduje kód z dvoufáze, ihned se na něj na podvržené stránce dotáže.

Pokud napsat takovýto skript není z nějakých technických důvodů možné, tím líp. Ale já se domnívám, že je to pro útočníky pouze nerentabilní - vzhledem k vyšší složitosti a počtu uživatelů s dvoufází, který jistě nebude moc vysoký, ovšem možné.

Nicméně pokud to nedělají dnes, nikde není psáno, že to neudělají zítra. Vývoj jde bohužel dopředu i v tomto odvětví lidské "tvořivosti".

Úplně nerozumím, proč je číslo zobrazené na mobilu i macu problém. Myslíte v případě, kdyby vám někdo například ukradl mac?

0/0
19.1.2017 11:08

A41d29a79m 23J34e34l55í89n31e78k 8839423338950

Předpokládám, že mínusy jsem dostal proto, že to některým lidem nedává smysl. Abych to tedy upřesnil - v mnou popsané situaci nepředpokládám, že podvržená stránka uživatelské jméno a heslo pouze uloží do databáze útočníka, ale pomocí skriptu rovnou použije k přihlášení.

Pokud jsem dostal mínusy kvůli něčemu zcela jinému - třeba že to říkám naprosto špatně, mohli by mě dotyční opravit? Rád se přiučím něčemu novému. :-)

0/0
19.1.2017 11:13

G90a38b30r63i26e14l 98H18o22r80t41e82n 9281429733404

Nechápu. To má někde Gmail tak hloupě navržené rozhraní, že uživatel na první pohled nerozezná klasickou přílohu od obrázku v HTML části zprávy?

+2/−3
18.1.2017 16:40

P91a26v41e66l 83K59u67r11f66ü16r90s69t 3338483215399

login stránka do emailu je docela jednoduchá, a mnoho uživatelů do levého rohu na SSL certifikát taky nekouká, navíc, málo kdo ví, že existuje něco jako bílé znaky v URL..

+2/0
18.1.2017 19:58

R62o64b52e73r60t 82M24á27s37l32o 1161971817517

I kdyby byla sebesložitější tak není problém si jí načíst a následně zveřejnit na falešném serveru.

0/0
19.1.2017 0:21

P16a22v26e89l 85K66r11a65l 4228419699282

Zajímalo by mě, jak by uspěli, pokud má uživatel Gmailu nastavené dvoufázové ověření účtu. :-P

+2/−1
18.1.2017 14:32
Foto

P96a20v22e38l 83K72a69s11í29k63, 88T98e78c19h12n23e39t60.52c68z

To je dobrá otázka. Mělo by to hodně pomoci, ovšem čistě teoreticky by na to mohli vyzrát tím man-in-the-middle útokem. Vy byste měl pocit, že se dvoufázově přihlašujete a oni by ta vaše data dávali do skutečného formuláře. Ale to by fungovalo spíše u cíleného útoku, ne při automatizovaném masové phishingu. A výše uvedené je jen moje spekulace.

+2/0
18.1.2017 15:09

K29a25r10e77l 53P43o62d53h38o95r51s21k14y 3425853132145

Pokud se rovnou po zadani udaju budou prihlasovat, tak to akorat obeti blikne na mobilu a ta to potvrdi, protoze se prece prave prihlasuje (vyzkousel jsem to ted na mobilu s androidem).

Takze v tomto pripade 2 fazovy overovani nechrani nic.

0/0
18.1.2017 16:03

P98a48v42e38l 79K31u51r33f26ü20r76s64t 3868353615889

vycházíme ovšem z předpokladu, že by se útočníkovi podařilo získat Vaše číslo k ověření

+1/−1
18.1.2017 19:59

K10a97r81e20l 44P83o50d20h26o71r32s21k76y 3945463322985

Ne, ten nic takoveho nepotrebuje. Defaultni google prompt funguje tak, ze utocnikovi v browseru blikne hlaska, at na mobilu potvrdi prihlaseni (to muze preposlat obeti a nemusi). Obeti na mobilu vyskoci tlacitko at potvrdi prihlaseni a ta to nejspis udela nebot si mysli, ze se prihlasuje. No a to je cele, utocnika to samo pusti dal, nemusel delat vubec nic.

0/0
18.1.2017 23:44
Foto

J19i40ř21í 19Č40e48c92h 3578531373329

hmmm a kdo dá útočníkovi k dispozici můj mobil, aby ověřil esemeskou přihlášení lupo?

0/−11
18.1.2017 14:16

M84a88r51t69i89n 32M13a43i14k92s69n24a96r 3324223188972

Jop, to taky nevim :)

0/−1
18.1.2017 14:21

J40a55n 31S73t54a64d77n94i49k 1782685596874

Na savci ti to možná jde, ale se čtením je to horší: Ochranou před podobnými útoky je vedle obezřetnosti především dvoufázová autorizace, kterou většina e-mailových služeb nabízí.

Zdroj: http://technet.idnes.cz/utok-na-gmail-0cq-/kratke-zpravy.aspx?c=A170118_115016_tec-kratke-zpravy_vse

+4/−1
18.1.2017 14:22

H62a89n56a 28P35r37o30k61o30p54o90v12á 8279160493251

"Ochranou před podobnými útoky je vedle obezřetnosti především dvoufázová autorizace, kterou většina e-mailových služeb nabízí."

Asi by to chtělo číst do konce...

+4/−1
18.1.2017 14:23

V24á86c28l40a94v 26P96o15u58s39t33k73a 3740491522

Co je tohle za otázku?

0/0
18.1.2017 14:23

P43a83v26e39l 78K66r78a95l 4838879459192

Účet Google jde ochránit tzv. dvoufázovým ověřením, kdy kromě hesla se zadává i kód, který je odeslán na mobil.

+1/0
18.1.2017 14:39

M10a40r70o37š 58P37o78l35i91a50k 1282916457926

Kterazto druha faze muze byt utocnikem take nasimulovana, pac zna z prvni faze prihlasovaci udaje...

+2/0
18.1.2017 15:36

M51o69j94m14í55r 86M80o12t56y28č11k75a 3692585454890

Teoreticky - pokud v těch přihlašovacích údajích bude i číslo toho mobilu na který se posílá ověřovací kód. Což asi těžko.

0/0
18.1.2017 15:44

M43a52r58o16š 96P73o86l12i73a45k 1942246607926

Gmail pokud vim pri overovani posle sms automaticky, nepta se na cislo... Ale mozna to je jinak, uz dloooouho jsem gmail nepouzil.

0/0
18.1.2017 15:45

K64a33r93e85l 25P19o11d79h41o57r38s97k82y 3515353822675

Je to udelane tak, ze na mobilu to blikne ze se nekdo prihlasuje a protoze to je ten uzivatel, tak to potvrdi, utocnik nemusi delat nic.

0/0
18.1.2017 16:01

T30o89m11a16s 75K43o38h95o76u81t 5926394208908

To je sice hezké zvýšení zabezpečení, ale musíte vědět, před čím vás ochrání. Takže... Dvoufázové ověření chrání před před prostým vyzrazením přihlašovacích údajů (odposlechnutím, uhodnutím, vyžvaněním, nalepením papírku na monitor...). Přidává ke kontrole typu "něco znám" (heslo) kontrolu "...a něco unikátního a osobního mám" (jiné zařízení, přes které projde druhé ověření)

Bohužel vás neuchrání před útokem "man in the middle" (přihlašujete se přes prostředníka, aniž o tom víte).

To pak proběhne takto:

1. prostředník vám podvrhne web s formulářem, který vypadá jako přihlašování do dané služby, navíc v okamžiku, kdy přihlášení více méně očekáváte.

2. Vy na podvrženém formuláři vyplníte své jméno a heslo a odešlete útočníkovi

3. Útočník odešle vaše přihlašovací údaje "vaším jménem" do skutečně služby.

4. Služba si na útočníkovi vyžádá potvrzení PIN kódem zaslaným na mobil oběti (otevře útočníkovi další formulář s kolonkou pro zadání PIN)

5. Útočník si "vynutí" u oběti otevření dalšího podvrženého formuláře, kterým se na PIN zeptá - to je nejkritičtější a technicky nejnáročnější část podvodu - dynamické zobrazení formuláře na straně oběti)

6. Oběť v dobré víře opíše na podvrženém formuláři i PIN, odešle...

7. ...a útočník PIN přebírá a zapisuje do skutečného formuláře. Hotovo!

+6/0
18.1.2017 19:34







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.