Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Uživatelé e-mailu od Googlu by si měli dát pozor na nový útok

Bezpečnostní firmy varují před novým útokem, který je namířen především na majitele e-mailových schránek Gmail, ale pomalu se objevuje se i u jiných služeb.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J71i36ř84í 26H18u17d83e75c 4222741979952

Dvoufaktorová autorizace neeexistuje..,je to autentizace..Tzn..zjištění identity..autorizace(zjištění přístupových opravneni) je az následná.

+4/0
18.1.2017 23:08

P67e87t21r 27F88r93ý35d31e14k 7619591279393

Tak mozna Hillary by si mela dat pozor, me takovy jednoduchy trik nerozhazi.

0/0
18.1.2017 22:43

P94e64t73r 18K11ř15í53ž 2943924231641

hmm zajimave .... a ted bych se konecne rad docetl o tom novem utoku !

+8/−3
18.1.2017 21:07

M83a68r11t56i35n 60H67l95a65v78a27t96y 9351304597362

Nechapu, ze phishing jeste frci. Asi je porad dost lidi, kteri o takove trapne taktice jeste nevedi, ale to je holt jejich chyba, kdyz maj internet jen na facebook apod.

+1/−9
18.1.2017 20:53

A60d63a44m 20J75e66l86í22n52e20k 8679213698540

K dvoufázovému ověření:

Nejdříve je potřeba říci, že ověřit lze různými způsoby. Google mimo jiné umožňuje ověřit pomocí SMS nebo generátoru kódů a nebo potvrzením na telefonu.

Situace je nejhorší v případě potvrzení na telefonu. To probíhá tak, že na uživatele vyskočí obrazovka, která se ptá, zda-li se zrovna přihlašuje, nebo ne. A jelikož uživatel se v tuto chvíli skutečně chce přihlásit, přihlášení potvrdí a tím útočníkovi umožnil přístup.

V případě SMS i generátoru kódu je situace pro útočníka složitější v tom, že podvržená stránka musí automaticky vyžadovat zadání potvrzení. Ovšem méně obezřetný uživatel kód z SMS zadá a tím útočník opět obešel dvoufázové ověření.

Já se tedy nedomnívám, že v tomto okamžiku dvoufázové ověření zvyšuje zabezpečení.

Proti této formě útoku mi přijde nejefektivnější velice jednoduchá věc, kterou používá například Steam. Při kliknutí na odkaz, který směřuje mimo doménu dané služby, otevře nejdříve varovnou obrazovku, na které vás upozorňuje, že opouštíte web služby Steam a zeptá se vás, jestli si přejete pokračovat.

Pokud by toto implementovali poštovní služby, považoval bych to za dostatečnou ochranu přes jakýmkoli pishingem.

Dejte vědět, co si o tom myslíte, protože kybernetická bezpečnost je důležitá a týká se nás všech 8-o

+4/−3
18.1.2017 18:11

P10a74v74e55l 42K29u92r77f95ü53r93s62t 3618593775679

a jak útočník zjistí Vaše číslo k dvoufázovému ověření?

proti této formě útoku je nejefektivnější obezřetnost, zdravý rozum a využívání veškerých prvků ochrany, které provozovatel emailové služby nabízí..

+2/−1
18.1.2017 19:56

A47d86a50m 77J92e40l58í13n87e27k 8819883148250

Vy po kliknutí na odkaz vyplníte do podvržené stránky své přihlašovací údaje. Útočník sedící za svým vlastním počítačem tyto údaje ihned využije ke skutečnému přihlášení. V tom okamžiku musí zadat heslo z dvoufázového ověření (nebo jen potvrdit stisknutím telefonu). Proto vám zobrazí aktualizovanou podvrženou stránku, kam vy sám vyplníte kód dvoufázového ověření, protože máte stále ještě pocit, že se skutečně přihlašujete. A tím jest dílo dokonáno.

Samozřejmě to nebude dělat přímo útočník, ale program. Je to sice složitější, než napsat jednoduchou podvrženou stránku, ale jen o málo složitější.

Obecně řečeno dvoufázové ověření vás chrání proti "hrubému útoku", tedy že někdo vaše heslo uhodne. Potom vás to chrání tím, že útočníkovi zkrátka chybí něco, co máte jen vy - telefon.

Ovšem pokud útočník využívá formu tzv sociálního inženýrství, což pishing nepochybně je, útočníkovi to, co máte jen vy, prostě dáte. Tak jako jste mu řekl vaše přihlašovací jméno a heslo (třeba skrze podvrženou stránku), stejně tak mu řeknete kód z sms.

+3/−1
18.1.2017 22:20

M91i55c36h21a77l 52S32t78r86n40a43d 3813670908264

S tim google authenticatorem je to tak, ze by to muselo okamzite jit na ten vas email. Pujde tam o 30 vterin pozdeji a kod je mrtvy. Jinymi slovy jestli to hazi email a heslo do nejake db tak sice fajn, ale bez toho kodu se nedostane nikam dal...

Problem mam treba u MacBooku, kde pri otevreni mailu pres browser se me to zepta na 6cisel, ale ta se zobrazi jak na displeji MacBooku, tak na displeji iPhonu jelikoz tam mam synchronizovane imessages a sms. A to me docela stve...

+1/0
18.1.2017 23:13

A22d15a36m 43J83e71l79í70n90e60k 8699263708670

Já si to představuji tak, že na podvržených stránkách pojede jednoduchý skript, který ihned jméno a heslo vyzkouší a jestliže gmail vyžaduje kód z dvoufáze, ihned se na něj na podvržené stránce dotáže.

Pokud napsat takovýto skript není z nějakých technických důvodů možné, tím líp. Ale já se domnívám, že je to pro útočníky pouze nerentabilní - vzhledem k vyšší složitosti a počtu uživatelů s dvoufází, který jistě nebude moc vysoký, ovšem možné.

Nicméně pokud to nedělají dnes, nikde není psáno, že to neudělají zítra. Vývoj jde bohužel dopředu i v tomto odvětví lidské "tvořivosti".

Úplně nerozumím, proč je číslo zobrazené na mobilu i macu problém. Myslíte v případě, kdyby vám někdo například ukradl mac?

0/0
19.1.2017 11:08

A25d46a14m 73J80e60l47í36n50e81k 8349453678980

Předpokládám, že mínusy jsem dostal proto, že to některým lidem nedává smysl. Abych to tedy upřesnil - v mnou popsané situaci nepředpokládám, že podvržená stránka uživatelské jméno a heslo pouze uloží do databáze útočníka, ale pomocí skriptu rovnou použije k přihlášení.

Pokud jsem dostal mínusy kvůli něčemu zcela jinému - třeba že to říkám naprosto špatně, mohli by mě dotyční opravit? Rád se přiučím něčemu novému. :-)

0/0
19.1.2017 11:13

G20a43b21r72i66e86l 74H22o55r54t29e52n 9221849453594

Nechápu. To má někde Gmail tak hloupě navržené rozhraní, že uživatel na první pohled nerozezná klasickou přílohu od obrázku v HTML části zprávy?

+2/−3
18.1.2017 16:40

P18a36v60e21l 71K92u39r17f85ü39r77s85t 3638533195489

login stránka do emailu je docela jednoduchá, a mnoho uživatelů do levého rohu na SSL certifikát taky nekouká, navíc, málo kdo ví, že existuje něco jako bílé znaky v URL..

+2/0
18.1.2017 19:58

R79o59b56e48r95t 58M83á91s13l90o 1591531387487

I kdyby byla sebesložitější tak není problém si jí načíst a následně zveřejnit na falešném serveru.

0/0
19.1.2017 0:21

P62a90v89e72l 97K83r56a37l 4268149139862

Zajímalo by mě, jak by uspěli, pokud má uživatel Gmailu nastavené dvoufázové ověření účtu. :-P

+2/−1
18.1.2017 14:32
Foto

P36a18v87e57l 11K45a80s48í41k34, 87T21e22c76h75n29e68t11.79c63z

To je dobrá otázka. Mělo by to hodně pomoci, ovšem čistě teoreticky by na to mohli vyzrát tím man-in-the-middle útokem. Vy byste měl pocit, že se dvoufázově přihlašujete a oni by ta vaše data dávali do skutečného formuláře. Ale to by fungovalo spíše u cíleného útoku, ne při automatizovaném masové phishingu. A výše uvedené je jen moje spekulace.

+2/0
18.1.2017 15:09

K90a25r94e73l 79P20o63d56h52o42r52s44k18y 3315743132545

Pokud se rovnou po zadani udaju budou prihlasovat, tak to akorat obeti blikne na mobilu a ta to potvrdi, protoze se prece prave prihlasuje (vyzkousel jsem to ted na mobilu s androidem).

Takze v tomto pripade 2 fazovy overovani nechrani nic.

0/0
18.1.2017 16:03

P89a23v71e88l 16K37u12r78f60ü30r18s37t 3678253345499

vycházíme ovšem z předpokladu, že by se útočníkovi podařilo získat Vaše číslo k ověření

+1/−1
18.1.2017 19:59

K38a44r92e92l 82P30o34d27h90o87r90s45k75y 3135543112255

Ne, ten nic takoveho nepotrebuje. Defaultni google prompt funguje tak, ze utocnikovi v browseru blikne hlaska, at na mobilu potvrdi prihlaseni (to muze preposlat obeti a nemusi). Obeti na mobilu vyskoci tlacitko at potvrdi prihlaseni a ta to nejspis udela nebot si mysli, ze se prihlasuje. No a to je cele, utocnika to samo pusti dal, nemusel delat vubec nic.

0/0
18.1.2017 23:44
Foto

J23i21ř65í 90Č67e83c86h 3918941293889

hmmm a kdo dá útočníkovi k dispozici můj mobil, aby ověřil esemeskou přihlášení lupo?

0/−11
18.1.2017 14:16

M55a29r83t27i27n 94M79a86i81k20s71n68a88r 3544973288462

Jop, to taky nevim :)

0/−1
18.1.2017 14:21

J66a12n 56S75t17a21d54n13i67k 1572695606164

Na savci ti to možná jde, ale se čtením je to horší: Ochranou před podobnými útoky je vedle obezřetnosti především dvoufázová autorizace, kterou většina e-mailových služeb nabízí.

Zdroj: http://technet.idnes.cz/utok-na-gmail-0cq-/kratke-zpravy.aspx?c=A170118_115016_tec-kratke-zpravy_vse

+4/−1
18.1.2017 14:22

H10a87n10a 44P70r71o14k72o27p79o33v67á 8289150513511

"Ochranou před podobnými útoky je vedle obezřetnosti především dvoufázová autorizace, kterou většina e-mailových služeb nabízí."

Asi by to chtělo číst do konce...

+4/−1
18.1.2017 14:23

V75á46c69l65a50v 35P91o71u23s48t17k39a 3230581462

Co je tohle za otázku?

0/0
18.1.2017 14:23

P19a36v74e19l 82K67r54a83l 4358249729492

Účet Google jde ochránit tzv. dvoufázovým ověřením, kdy kromě hesla se zadává i kód, který je odeslán na mobil.

+1/0
18.1.2017 14:39

M31a33r17o87š 16P12o61l91i21a10k 1932656747946

Kterazto druha faze muze byt utocnikem take nasimulovana, pac zna z prvni faze prihlasovaci udaje...

+2/0
18.1.2017 15:36

M38o30j32m63í73r 58M67o42t23y41č53k94a 3672825314620

Teoreticky - pokud v těch přihlašovacích údajích bude i číslo toho mobilu na který se posílá ověřovací kód. Což asi těžko.

0/0
18.1.2017 15:44

M43a51r77o84š 69P47o16l60i11a36k 1612666357196

Gmail pokud vim pri overovani posle sms automaticky, nepta se na cislo... Ale mozna to je jinak, uz dloooouho jsem gmail nepouzil.

0/0
18.1.2017 15:45

K41a19r44e86l 39P33o60d70h49o23r81s88k20y 3745433202445

Je to udelane tak, ze na mobilu to blikne ze se nekdo prihlasuje a protoze to je ten uzivatel, tak to potvrdi, utocnik nemusi delat nic.

0/0
18.1.2017 16:01

T77o69m58a65s 52K87o89h35o89u23t 5706624478968

To je sice hezké zvýšení zabezpečení, ale musíte vědět, před čím vás ochrání. Takže... Dvoufázové ověření chrání před před prostým vyzrazením přihlašovacích údajů (odposlechnutím, uhodnutím, vyžvaněním, nalepením papírku na monitor...). Přidává ke kontrole typu "něco znám" (heslo) kontrolu "...a něco unikátního a osobního mám" (jiné zařízení, přes které projde druhé ověření)

Bohužel vás neuchrání před útokem "man in the middle" (přihlašujete se přes prostředníka, aniž o tom víte).

To pak proběhne takto:

1. prostředník vám podvrhne web s formulářem, který vypadá jako přihlašování do dané služby, navíc v okamžiku, kdy přihlášení více méně očekáváte.

2. Vy na podvrženém formuláři vyplníte své jméno a heslo a odešlete útočníkovi

3. Útočník odešle vaše přihlašovací údaje "vaším jménem" do skutečně služby.

4. Služba si na útočníkovi vyžádá potvrzení PIN kódem zaslaným na mobil oběti (otevře útočníkovi další formulář s kolonkou pro zadání PIN)

5. Útočník si "vynutí" u oběti otevření dalšího podvrženého formuláře, kterým se na PIN zeptá - to je nejkritičtější a technicky nejnáročnější část podvodu - dynamické zobrazení formuláře na straně oběti)

6. Oběť v dobré víře opíše na podvrženém formuláři i PIN, odešle...

7. ...a útočník PIN přebírá a zapisuje do skutečného formuláře. Hotovo!

+6/0
18.1.2017 19:34







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.