18-летний эксперт обошел двухфакторную аутентификацию, перехватив токен 2FA

Считается, что внедрение для авторизации на ресурсе двухфакторной аутентификации существенно повышает защищенность пользовательских аккаунтов от взломов. Однако эксперимент, проведенный независимым австралийским экспертом Шабхэмом Шахом, показал обратное.

В частности, эксперт кибербезопасности (которому всего 18 лет) смог благополучно обойти барьер двухфакторной голосовой аутентификации на целом ряде web-ресурсов, предусматривающих предварительное отправление пользователю 2FA-токенов.

Среди ресурсов, двухфакторная аутентификация которых была обойдена, значатся в том числе Google, Yahoo, а также соцсети Facebook и LinkedIn. Правда для обхода Шаху понадобилось получить доступ к голосовой почте атакуемых пользователей (это оказалось нетрудно сделать, зная телефон потенциальной жертвы).

Затем, воспользовавшись сервисом подделки телефонных номеров, эксперту оставалось во время своей попытки авторизации на атакуемом аккаунте позвонить настоящему пользователю (тут на помощь приходит социальный фактор - например, косметика Холи Ленд, которую можно предложить приобрести пользователю). В результате телефон жертвы оказывался занят, и требуемый для двусторонней авторизации код высылался на голосовую почту, доступ к которой уже был у эксперта, использовавшего для этого сервис подделки телефонных номеров.

Несмотря на успешность проведенного эксперимента, IT-компании не проявляют излишнего беспокойства. Например, представитель Google заявил, что для обхода авторизации по такому методу атакующему все же нужно знать пароль, а это возможно только при предварительной компрометации компьютера, на котором этот пароль хранится, и в этом случае никакие защитные барьеры уже не остановят злоумышленников.