Vídeo: piratejar la vida (Setembre 2024)
Programa de dos passos de Twitter
Pregunteu a Josh Alexander, CEO de l’empresa d’autenticació Toopher, com us agradaria piratejar Twitter ara que hi ha una autenticació de dos factors. Et dirà que ho fas exactament de la mateixa manera que abans de l’arribada de l’autenticació de dos factors.
En un breu vídeo droll sobre l'autenticació de dos factors de Twitter, Alexander felicita Twitter per haver-se unit a un "programa de dos passos de seguretat" i haver fet el primer pas, admetent que existeix un problema. A continuació, il·lustra el poc que ajuda l’autenticació basada en dos factors de SMS. "La vostra nova solució deixa les portes ben obertes", va dir Alexander, "pels mateixos atacs intermitjos que van comprometre la reputació de grans fonts de notícies i celebritats".
El procés s’inicia amb un pirata informàtic que envia un correu electrònic convincent, un missatge que m’aconsella canviar la meva contrasenya de Twitter, amb un enllaç a un lloc fals de Twitter. Un cop ho faig, el pirata informàtic utilitza les meves credencials d’inici de sessió capturades per connectar-se amb el Twitter real. Twitter m’envia un codi de verificació i l’introdueixo, donant-lo així al pirata informàtic. En aquest punt, el compte està indicat. Mireu el vídeo: mostra el procés de manera molt clara.
No és d'estranyar que Toopher ofereixi un tipus diferent d'autenticació de dos factors basada en telèfons intel·ligents. La solució Toopher fa un seguiment de les ubicacions i de les activitats habituals i es pot configurar per aprovar automàticament les transaccions habituals. En lloc de enviar-vos un missatge de text per completar una transacció, envia una notificació push amb detalls de la transacció, inclosos el nom d’usuari, el lloc i el càlcul implicat. No ho he provat, però sembla sensat.
Eviteu la presa de dos factors
La estrella de rock de seguretat Mikko Hypponnen de F-Secure representa un escenari encara més nefast. Si no heu activat l’autenticació de dos factors, un malfactor que accedeix al vostre compte el podríeu configurar mitjançant el seu propi telèfon.
En una publicació al bloc, Hypponen assenyala que si mai envieu tuits via SMS, ja teniu un número de telèfon associat al vostre compte. És fàcil aturar aquesta associació; només cal que escriviu el text breu al codi curt de Twitter del vostre país. Tingueu en compte, però, que fer això també impedeix l’autenticació de dos factors. L'enviament de GO l'activa de nou.
Tenint això en compte, Hypponen presenta una seqüència espantosa d'esdeveniments. En primer lloc, el pirata informàtic accedeix al vostre compte, potser mitjançant un missatge de phishing. A continuació, enviant un text a GO des del seu propi telèfon al codi curt adequat i seguint algunes indicacions, configura el vostre compte perquè el codi d’autenticació de dos factors arribi al seu telèfon. Ets tancat.
Aquesta tècnica no funcionarà si ja heu activat l’autenticació de dos factors. "Potser haureu d'activar el 2FA del vostre compte", va suggerir Hypponen, "abans que algú altre ho faci per vosaltres". No és del tot clar per què l'atacant primer no podia fer servir els missatges de sms per aturar l'autenticació de dos factors i després continuar amb l'atac. Podria ser més paranoic que Mikko?
