Odkryto nowy typ ataku pshishingowego, który może uczynić bezużytecznymi dwuetapowe systemy identyfikacyjne. W tego typu systemach zwykle wykorzystuje się hasła i dodatkowo jakieś urządzenie w rodzaju kart elektronicznych czy tokenów tworzących tymczasowe hasła. Karty zwykle używane są w firmach, podczas gdy z tokenów chętnie korzystają banki i serwisy on-line.
Specjaliści z Secure Science Corporation odkryli stronę internetową wykorzystywaną do ataków na serwis Cicitusiness, która miała pozwolić na kradzież zarówno loginu użytkownika oraz hasła, jak i tymczasowego hasła wygenerowanego przez token. “Ten sam sposób może być przydatny do ataku na każdy dwuetapowy system” – mówią eksperci. Wygenerowane jednorazowe hasła wygasają po krótkim okresie czasu. Cyberprzestępcy muszą się więc pospieszyć, jeśli chcą z nich skorzystać.
“Obecnie typowy atak nie jest tak skomplikowany. Wciąż zbierane są hasła i nazwy użytkownika i przeważnie używane są dopiero po jakimś czasie. Dwuetapowa identyfikacja dobrze zabezpiecza przed takimi prostymi atakami. Jednak, w przypadku bardziej zaawansowanych metod ataku, gdy przestępca może użyć zdobyte hasła natychmiast, jesteśmy zagrożeni. Myślę, że gdy już pojawi się phishing następnej generacji, dwustopniowa identyfikacja stanie się bezużyteczna” – stwierdził jeden z ekspertów.
Źródło: Arcabit