Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Uživatelé e-mailu od Googlu by si měli dát pozor na nový útok

Bezpečnostní firmy varují před novým útokem, který je namířen především na majitele e-mailových schránek Gmail, ale pomalu se objevuje se i u jiných služeb.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

J52i37ř19í 34H45u73d63e39c 4202771209692

Dvoufaktorová autorizace neeexistuje..,je to autentizace..Tzn..zjištění identity..autorizace(zjištění přístupových opravneni) je az následná.

+4/0
18.1.2017 23:08

P10e38t67r 40F93r72ý18d75e25k 7949781149313

Tak mozna Hillary by si mela dat pozor, me takovy jednoduchy trik nerozhazi.

0/0
18.1.2017 22:43

P92e46t63r 59K42ř21í80ž 2493424141971

hmm zajimave .... a ted bych se konecne rad docetl o tom novem utoku !

+8/−3
18.1.2017 21:07

M22a58r10t80i89n 73H27l59a17v59a17t97y 9111954567752

Nechapu, ze phishing jeste frci. Asi je porad dost lidi, kteri o takove trapne taktice jeste nevedi, ale to je holt jejich chyba, kdyz maj internet jen na facebook apod.

+1/−9
18.1.2017 20:53

A33d80a11m 57J58e14l13í52n36e10k 8799773658390

K dvoufázovému ověření:

Nejdříve je potřeba říci, že ověřit lze různými způsoby. Google mimo jiné umožňuje ověřit pomocí SMS nebo generátoru kódů a nebo potvrzením na telefonu.

Situace je nejhorší v případě potvrzení na telefonu. To probíhá tak, že na uživatele vyskočí obrazovka, která se ptá, zda-li se zrovna přihlašuje, nebo ne. A jelikož uživatel se v tuto chvíli skutečně chce přihlásit, přihlášení potvrdí a tím útočníkovi umožnil přístup.

V případě SMS i generátoru kódu je situace pro útočníka složitější v tom, že podvržená stránka musí automaticky vyžadovat zadání potvrzení. Ovšem méně obezřetný uživatel kód z SMS zadá a tím útočník opět obešel dvoufázové ověření.

Já se tedy nedomnívám, že v tomto okamžiku dvoufázové ověření zvyšuje zabezpečení.

Proti této formě útoku mi přijde nejefektivnější velice jednoduchá věc, kterou používá například Steam. Při kliknutí na odkaz, který směřuje mimo doménu dané služby, otevře nejdříve varovnou obrazovku, na které vás upozorňuje, že opouštíte web služby Steam a zeptá se vás, jestli si přejete pokračovat.

Pokud by toto implementovali poštovní služby, považoval bych to za dostatečnou ochranu přes jakýmkoli pishingem.

Dejte vědět, co si o tom myslíte, protože kybernetická bezpečnost je důležitá a týká se nás všech 8-o

+4/−3
18.1.2017 18:11

P29a66v33e69l 28K44u72r37f85ü50r77s28t 3958713855489

a jak útočník zjistí Vaše číslo k dvoufázovému ověření?

proti této formě útoku je nejefektivnější obezřetnost, zdravý rozum a využívání veškerých prvků ochrany, které provozovatel emailové služby nabízí..

+2/−1
18.1.2017 19:56

A61d62a85m 45J57e68l41í56n48e17k 8559563548880

Vy po kliknutí na odkaz vyplníte do podvržené stránky své přihlašovací údaje. Útočník sedící za svým vlastním počítačem tyto údaje ihned využije ke skutečnému přihlášení. V tom okamžiku musí zadat heslo z dvoufázového ověření (nebo jen potvrdit stisknutím telefonu). Proto vám zobrazí aktualizovanou podvrženou stránku, kam vy sám vyplníte kód dvoufázového ověření, protože máte stále ještě pocit, že se skutečně přihlašujete. A tím jest dílo dokonáno.

Samozřejmě to nebude dělat přímo útočník, ale program. Je to sice složitější, než napsat jednoduchou podvrženou stránku, ale jen o málo složitější.

Obecně řečeno dvoufázové ověření vás chrání proti "hrubému útoku", tedy že někdo vaše heslo uhodne. Potom vás to chrání tím, že útočníkovi zkrátka chybí něco, co máte jen vy - telefon.

Ovšem pokud útočník využívá formu tzv sociálního inženýrství, což pishing nepochybně je, útočníkovi to, co máte jen vy, prostě dáte. Tak jako jste mu řekl vaše přihlašovací jméno a heslo (třeba skrze podvrženou stránku), stejně tak mu řeknete kód z sms.

+3/−1
18.1.2017 22:20

M93i49c92h77a40l 49S74t41r77n21a13d 3953930598784

S tim google authenticatorem je to tak, ze by to muselo okamzite jit na ten vas email. Pujde tam o 30 vterin pozdeji a kod je mrtvy. Jinymi slovy jestli to hazi email a heslo do nejake db tak sice fajn, ale bez toho kodu se nedostane nikam dal...

Problem mam treba u MacBooku, kde pri otevreni mailu pres browser se me to zepta na 6cisel, ale ta se zobrazi jak na displeji MacBooku, tak na displeji iPhonu jelikoz tam mam synchronizovane imessages a sms. A to me docela stve...

+1/0
18.1.2017 23:13

A39d18a40m 66J87e47l26í91n30e81k 8609353768300

Já si to představuji tak, že na podvržených stránkách pojede jednoduchý skript, který ihned jméno a heslo vyzkouší a jestliže gmail vyžaduje kód z dvoufáze, ihned se na něj na podvržené stránce dotáže.

Pokud napsat takovýto skript není z nějakých technických důvodů možné, tím líp. Ale já se domnívám, že je to pro útočníky pouze nerentabilní - vzhledem k vyšší složitosti a počtu uživatelů s dvoufází, který jistě nebude moc vysoký, ovšem možné.

Nicméně pokud to nedělají dnes, nikde není psáno, že to neudělají zítra. Vývoj jde bohužel dopředu i v tomto odvětví lidské "tvořivosti".

Úplně nerozumím, proč je číslo zobrazené na mobilu i macu problém. Myslíte v případě, kdyby vám někdo například ukradl mac?

0/0
19.1.2017 11:08

A21d88a25m 82J95e56l38í35n28e40k 8459723308840

Předpokládám, že mínusy jsem dostal proto, že to některým lidem nedává smysl. Abych to tedy upřesnil - v mnou popsané situaci nepředpokládám, že podvržená stránka uživatelské jméno a heslo pouze uloží do databáze útočníka, ale pomocí skriptu rovnou použije k přihlášení.

Pokud jsem dostal mínusy kvůli něčemu zcela jinému - třeba že to říkám naprosto špatně, mohli by mě dotyční opravit? Rád se přiučím něčemu novému. :-)

0/0
19.1.2017 11:13

G73a42b61r73i80e76l 18H98o24r89t65e51n 9771579713944

Nechápu. To má někde Gmail tak hloupě navržené rozhraní, že uživatel na první pohled nerozezná klasickou přílohu od obrázku v HTML části zprávy?

+2/−3
18.1.2017 16:40

P78a23v96e21l 66K32u86r22f97ü13r50s14t 3888983305249

login stránka do emailu je docela jednoduchá, a mnoho uživatelů do levého rohu na SSL certifikát taky nekouká, navíc, málo kdo ví, že existuje něco jako bílé znaky v URL..

+2/0
18.1.2017 19:58

R27o40b27e87r30t 86M54á98s21l21o 1731341267537

I kdyby byla sebesložitější tak není problém si jí načíst a následně zveřejnit na falešném serveru.

0/0
19.1.2017 0:21

P78a79v62e32l 61K31r75a18l 4288509549482

Zajímalo by mě, jak by uspěli, pokud má uživatel Gmailu nastavené dvoufázové ověření účtu. :-P

+2/−1
18.1.2017 14:32
Foto

P74a76v36e14l 19K24a68s51í34k46, 39T83e74c91h68n96e10t54.57c61z

To je dobrá otázka. Mělo by to hodně pomoci, ovšem čistě teoreticky by na to mohli vyzrát tím man-in-the-middle útokem. Vy byste měl pocit, že se dvoufázově přihlašujete a oni by ta vaše data dávali do skutečného formuláře. Ale to by fungovalo spíše u cíleného útoku, ne při automatizovaném masové phishingu. A výše uvedené je jen moje spekulace.

+2/0
18.1.2017 15:09

K95a53r34e69l 51P66o47d97h47o18r22s75k43y 3805213762725

Pokud se rovnou po zadani udaju budou prihlasovat, tak to akorat obeti blikne na mobilu a ta to potvrdi, protoze se prece prave prihlasuje (vyzkousel jsem to ted na mobilu s androidem).

Takze v tomto pripade 2 fazovy overovani nechrani nic.

0/0
18.1.2017 16:03

P17a12v59e65l 73K29u41r50f78ü56r68s62t 3788183725919

vycházíme ovšem z předpokladu, že by se útočníkovi podařilo získat Vaše číslo k ověření

+1/−1
18.1.2017 19:59

K91a52r31e51l 65P62o52d75h69o13r25s33k62y 3495933802905

Ne, ten nic takoveho nepotrebuje. Defaultni google prompt funguje tak, ze utocnikovi v browseru blikne hlaska, at na mobilu potvrdi prihlaseni (to muze preposlat obeti a nemusi). Obeti na mobilu vyskoci tlacitko at potvrdi prihlaseni a ta to nejspis udela nebot si mysli, ze se prihlasuje. No a to je cele, utocnika to samo pusti dal, nemusel delat vubec nic.

0/0
18.1.2017 23:44
Foto

J33i92ř52í 97Č95e31c33h 3928291713199

hmmm a kdo dá útočníkovi k dispozici můj mobil, aby ověřil esemeskou přihlášení lupo?

0/−11
18.1.2017 14:16

M78a45r68t10i48n 82M51a38i88k34s17n53a59r 3824943698142

Jop, to taky nevim :)

0/−1
18.1.2017 14:21

J17a86n 38S62t86a70d54n25i30k 1932945306964

Na savci ti to možná jde, ale se čtením je to horší: Ochranou před podobnými útoky je vedle obezřetnosti především dvoufázová autorizace, kterou většina e-mailových služeb nabízí.

Zdroj: http://technet.idnes.cz/utok-na-gmail-0cq-/kratke-zpravy.aspx?c=A170118_115016_tec-kratke-zpravy_vse

+4/−1
18.1.2017 14:22

H58a45n89a 42P96r34o44k25o84p78o97v64á 8909650263481

"Ochranou před podobnými útoky je vedle obezřetnosti především dvoufázová autorizace, kterou většina e-mailových služeb nabízí."

Asi by to chtělo číst do konce...

+4/−1
18.1.2017 14:23

V91á25c11l61a29v 84P42o42u55s90t74k24a 3830271882

Co je tohle za otázku?

0/0
18.1.2017 14:23

P55a18v91e75l 70K63r26a85l 4708359889322

Účet Google jde ochránit tzv. dvoufázovým ověřením, kdy kromě hesla se zadává i kód, který je odeslán na mobil.

+1/0
18.1.2017 14:39

M17a39r97o94š 14P38o76l37i78a93k 1682776737136

Kterazto druha faze muze byt utocnikem take nasimulovana, pac zna z prvni faze prihlasovaci udaje...

+2/0
18.1.2017 15:36

M56o85j15m59í29r 40M66o89t52y56č98k89a 3542835754380

Teoreticky - pokud v těch přihlašovacích údajích bude i číslo toho mobilu na který se posílá ověřovací kód. Což asi těžko.

0/0
18.1.2017 15:44

M39a35r40o62š 34P12o57l94i69a85k 1172886207606

Gmail pokud vim pri overovani posle sms automaticky, nepta se na cislo... Ale mozna to je jinak, uz dloooouho jsem gmail nepouzil.

0/0
18.1.2017 15:45

K49a23r11e67l 16P39o79d21h15o58r64s27k86y 3505953242825

Je to udelane tak, ze na mobilu to blikne ze se nekdo prihlasuje a protoze to je ten uzivatel, tak to potvrdi, utocnik nemusi delat nic.

0/0
18.1.2017 16:01

T91o61m49a63s 42K46o21h77o53u37t 5196884438328

To je sice hezké zvýšení zabezpečení, ale musíte vědět, před čím vás ochrání. Takže... Dvoufázové ověření chrání před před prostým vyzrazením přihlašovacích údajů (odposlechnutím, uhodnutím, vyžvaněním, nalepením papírku na monitor...). Přidává ke kontrole typu "něco znám" (heslo) kontrolu "...a něco unikátního a osobního mám" (jiné zařízení, přes které projde druhé ověření)

Bohužel vás neuchrání před útokem "man in the middle" (přihlašujete se přes prostředníka, aniž o tom víte).

To pak proběhne takto:

1. prostředník vám podvrhne web s formulářem, který vypadá jako přihlašování do dané služby, navíc v okamžiku, kdy přihlášení více méně očekáváte.

2. Vy na podvrženém formuláři vyplníte své jméno a heslo a odešlete útočníkovi

3. Útočník odešle vaše přihlašovací údaje "vaším jménem" do skutečně služby.

4. Služba si na útočníkovi vyžádá potvrzení PIN kódem zaslaným na mobil oběti (otevře útočníkovi další formulář s kolonkou pro zadání PIN)

5. Útočník si "vynutí" u oběti otevření dalšího podvrženého formuláře, kterým se na PIN zeptá - to je nejkritičtější a technicky nejnáročnější část podvodu - dynamické zobrazení formuláře na straně oběti)

6. Oběť v dobré víře opíše na podvrženém formuláři i PIN, odešle...

7. ...a útočník PIN přebírá a zapisuje do skutečného formuláře. Hotovo!

+6/0
18.1.2017 19:34







Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.