I maximálne zabezpečený účet může být odcudzený. Když zlyhá ľudský fakter.
Známy bezpečnostný expert Brian Krebs, který se mimo iného venuje odhaľovaniu hackerských skupín, se stal terčem neznámych útočníků. Úspešne se zmocnili jeho účtu v populárnej službe PayPal.
Nepochybil však odborník, ale technická podpora platobnej služby. Detailné informace o průběhu celého incidentu výskumník zverejnil[1] na svojem blogu.
Peníze mali Jít pro teroristov
PreCo je PayPal zraniteľný
Při internetových nákupoch prostřednictvím PayPalu človek jen prepojí platobnú kartu se svojím účtem v službe PayPal.
Při platení za zboží či služby už jen stačí zadat prihlasovacie údaje a platba okamžite prebehne. Nevyžaduje se žádné doplnkové overovanie nebo opätovné zadanie CVV kódu.
Když má klient banky platobnú kartu s technológiou 3D Secure, zjednodušený postup se realizovat nedá. Většinou se pro potvrdenie využíva jedinečný kód z SMS správy.
Krebs dostal na Štedrý den rAno notifikáciu, že byl k jeho účtu na PayPal pridaný druhý kontaktný e-mail. Okamžite se po prečítaní upozornenia prihlásil, neznámu adresu odstránil a zmenil heslo.
Hned se obrátil na technickú podporu, od které zistil, že se hackeri do služby údajne prihlásili se správnym menem i heslem. Zároveň dostal prísľub, že jeho konto budou aktívne monitorovat, aby se podobným problémem zabránilo.
Netrvalo však dlho a opät mu služba doručila informaci o pripojení ďalšej e-mailovej adresy. Tentoraz se mu už do jeho účtu nepodarilo prihlásit, pretože zločinci už heslo zmenili.
PayPal nakonec účet zablokoval v okamihu, když se počítačoví kriminálnici pokúsili previest peníze hackerskej skupine, která otvorene podporuje extrémistickú organizáciu Islamský štát.
Dôverčivá technická podpora
Z vyšetrovania incidentu vyplynulo, že podvodníci zneužili telefonickú podporu. Útočník zavolal na infolinku a vydával se za Krebse. S vymyslenou historkou, znalostí posledních štyroch čísel sociálneho pojištění a štyroch čísel starej platobnej karty dosiahol zresetovanie hesla.
Zločinci uspeli hned dvakrát po sebe a to bez vzbudenia jakéhokoli podozrenia ze strany PayPalu. Nepomohla ani ochrana dvojfaktorovou autorizáciou, kterou se díky technickej podpore podarilo obJít.
Hackeri získali údaje o poistke a platobnej karte pravdepodobne z takzvaného Darknetu, kde se mimo iného obchoduje s databázami citlivých informace, které boli odcudzené z legitímnych zdrojů.
Ciest na oklamanení viac
Pro odblokovanie účtu stačí, aby používatel poslal PayPalu naskenovaný vodičský průkaz. Problémem je, že podobný dokument si dokáže v grafickem editore upravit i začiatočník. Taktéž existujú i nelegálne služby s ponukou falošných, no realisticky vyzerajúcich kópií dokumentů, pasů či bankových výpisů.
Druhou možnostou ověřenia totožnosti je využitie verejných záznamů. Jde o podobný inštitút, jak je matrika.
Úrad zhromažďuje informace o narodeniach, úmrtiach nebo manželstvách. V některých krajinách jsou však záznamy verejne prístupné, případně informace poskytujú za odplatu. Nemožno teda pokladat ani tento mechanizmus ověřenia za dostatočný.
Podobných prípadů je nespočetne mnoho. Phishingové útoky a využívanie sociálneho inžinierstva se mezi počítačovými zločincami teší veľkej popularite. Hackeri totiž nemusia vytvárat sofistikované škodlivé kódy, které preniknú přes antivírusové programy. Stačí, aby vymysleli dôveryhodnú zámienku a človek na druhej strane telefónu im ochotne pomůže.
Živé.sk radí, jak zabezpečit PayPal
Útočníci v Krebsovem případě síce úspešne obišli dvojfaktorovú autorizáciu, no v naší oblasti se najčastejšie stretneme „iba“ s odcudzenými prihlasovacími údajmi do služby PayPal.
Dvojfaktorová autorizácia
Scenáru dokáže zabránit dvojfaktorová autorizácia ve forme jednorazového kódu, který je doručený prostřednictvím SMS správy. I když útočník zistí jméno a heslo používatele, bez doplnkového hesla transakciu nevykoná.
6fotografií v galérii Postup nastavenia dvojfaktorovej autorizácie (zdroj: redakcia)[2]
Funkcia je velmi dobre ukrytá. Pro jej aktivovanie se prihláste do svojho PayPal účtu. Kliknite vpravo hore na ikonu ozubeného kolieska (Profile) a zvoľte záložku „Security“. Následne kliknite na „Log In with PayPal“.
Postup nastavenia dvojfaktorovej autorizácie (zdroj: redakcia)
Internetový prehliadač zobrazí pôvodný dizajn stránok, na kterém zvoľte položku „Profile“. V ľavej časti stránky vyberte „My settings“ a na pravej strane otvorte „Security key“. V dolnej časti novo otvoreného webu kliknite na možnost „Get security key“, kde si zaregistrujete vaše telefónne číslo.
6fotografií v galérii Postup nastavenia dvojfaktorovej autorizácie (zdroj: redakcia)[3]
Po úspešnej registrácii uvidíte ve výpise „Security Key“ vaše telefónne číslo, na které budou odteraz vždy chodit overovacie SMS správy.
6fotografií v galérii Dvojfaktorové ověřenie v praxi (zdroj: redakcia)[4]
Limity platobnej karty
Mimo dvojfaktorovej autorizácie je velmi dobrým opatrením limit platobnej karty. Jde o klientům stanovenú finančnú hranicu denných obratů. Když je napríklad objem nastavený na 100 eur denne, útočník dokáže odcudzit maximálne tuto čiastku.
6fotografií v galérii Ukážka nastavených limitů v banke (zdroj: redakcia)[5]
Ostatné finančné prostriedky na účte jsou pro daný den v bezpečí. Čitateľů upozorňujeme, že tyto limity můžou být v predvolenem nastavení stanovené i na tisíce eur denne.
Druhý účet
Najefektívnejším riešením je samostatný bankový účet bez poplatku. Klient štandardne dostane i platobnú kartu, s ktorou se bez problémů dokáže zaregistrovat v službe PayPal. Klient se následne rozhodne, či na „nebezpečnom“ konte bude držat 30 eur nebo 3 000 eur, a aký limit pro danú kartu nastaví.
References
- ^ zverejnil (krebsonsecurity.com)
- ^ 6fotografií v galérii Postup nastavenia dvojfaktorovej autorizácie (zdroj: redakcia) (www.zive.sk)
- ^ 6fotografií v galérii Postup nastavenia dvojfaktorovej autorizácie (zdroj: redakcia) (www.zive.sk)
- ^ 6fotografií v galérii Dvojfaktorové ověřenie v praxi (zdroj: redakcia) (www.zive.sk)
- ^ 6fotografií v galérii Ukážka nastavených limitů v banke (zdroj: redakcia) (www.zive.sk)