Ruski hakeri su uspešno zaobišli Google višefaktorsku autentifikaciju (MFA) za Gmail, otkrili su istraživači iz Google Threat Intelligence Group (GTIG).
Hakeri su se predstavljali kao zvaničnici Američkog Stejt departmenta u naprednim napadima socijalnog inženjeringa. Izgradili su poverenje sa metom, a zatim ih ubedili da kreiraju lozinke specifične za aplikacije (aplikacijske lozinke).
Aplikacijske lozinke su posebni 16-cifreni kodovi koje Google generiše kako bi omogućio određenim aplikacijama ili uređajima siguran pristup Google nalogu, posebno kada je MFA omogućena.
Iako su korisne za starije aplikacije koje ne podržavaju punu MFA, ove lozinke preskaču drugi korak verifikacije, čineći ih lakšim za krađu ili fišing, o čemu piše na blogu antivirusnog programa Malwarebytes.
Kako izgleda napad?
U jednom primeru, napadači su se u početku predstavljali kao predstavnici Stejt departmenta, pozivajući metu na konsultacije u privatnom onlajn razgovoru. Iako je poziv stigao sa Gmail naloga, “CC” su bile četiri @state.gov adrese, što je stvaralo lažni osećaj sigurnosti.
Kada bi meta pokazala interesovanje, dobila bi zvanični dokument sa uputstvima za registraciju za “MS DoS Guest Tenant” nalog, što je uključivalo kreiranje aplikacijske lozinke za “omogućavanje sigurne komunikacije”. Na taj način, žrtva je, verujući da pristupa platformi Stejt departmenta, zapravo davala hakerima potpun pristup svom Google nalogu.
Ciljevi ove višemesečne kampanje bili su istaknuti akademici i kritičari Rusije. Zbog pažnje posvećene detaljima i veštine u izvođenju, istraživači sumnjaju da je napadač bio entitet sponzorisan od strane ruske države.
Šta možete da uradite?
- Koristite aplikacijske lozinke samo kada je to apsolutno neophodno. Ako je moguće, pređite na aplikacije i uređaje koji podržavaju sigurnije metode prijave.
- Omogućite MFA, ali dajte prednost aplikacijama za autentifikaciju (poput Google Authenticator-a) ili hardverskim sigurnosnim ključevima (FIDO2/WebAuthn), jer su otporniji na napade od SMS-kodova.
- Redovno se edukujte o prepoznavanju pokušaja fišinga.
- Pratite neobične pokušaje prijavljivanja ili sumnjivo ponašanje na vašim nalozima.
- Redovno ažurirajte operativni sistem i aplikacije kako biste zakrpili ranjivosti. Omogućite automatska ažuriranja.
- Koristite sigurnosni softver koji može blokirati zlonamerne domene i prepoznati prevare.
