Jedno hasło do wszystkich kont? To może sporo kosztować…

Jedną z podstawowych zasad w bezpieczeństwie IT jest stworzenie silnego i unikatowego hasła. Często jest to jedyna bariera, która oddziela osoby trzecie od dostępu do naszych danych. Właśnie dlatego tak ważne jest używanie jednego hasła do jednego serwisu/usługi i zadbanie o to by było skomplikowane. Niestety takie rozwiązanie jest mało wygodne, bo w czasach kiedy o kody i hasła prosi prawie każda strona, a z urządzeń niedługo nawet lodówka będzie wymagała podania pinu, coraz ciężej jest zapamiętać taką ilość fraz.

Jak donosi serwis Macrumors[1], od kilku dni coraz więcej posiadaczy MacBooków informuje o zdalnym zablokowaniu ich urządzeń poprzez usługę iCloud i to pomimo posiadania dwuskładnikowego uwierzytelniania (oprócz hasła głównego wymagany jest dodatkowy, jednorazowy kod wysyłany np. SMS-em na wskazany wcześniej numer, dzięki temu potrzebny jest fizyczny dostęp do telefonu, a nie samo hasło główne). Poniżej przykładowy komunikat z iCloud, w którym po podaniu hasła głównego, prosi o wspomniany wyżej dodatkowy kod.

Źródło: https://www.macrumors.com/2017/09/20/hackers-find-my-iphone-remote-mac-lock/
Źródło: https://www.macrumors.com/2017/09/20/hackers-find-my-iphone-remote-mac-lock/

Jak w takim razie doszło do ataku? Zalogowanie do usługi Find My iPhone wchodzącej w skład iCloud, a która pozwala blokować zdalnie sprzęt w razie jego utraty, nie wymaga dodatkowego kodu. W ten sposób Apple daje użytkownikowi możliwość zalogowania się do usługi i zarządzania urządzeniami, nawet jeżeli dojdzie do utraty telefonu/tabletu, na który powinien przyjść kod. Biorąc jednak pod uwagę tendencję do tworzenia łatwych haseł i tego, że często jest to kombinacja cyfr np. 123456[2], okazuje się, że użytkownicy są narażeni na przejęcie kontroli nad ich sprzętem.

Źródło: https://www.macrumors.com/2017/09/20/hackers-find-my-iphone-remote-mac-lock/
Źródło: https://www.macrumors.com/2017/09/20/hackers-find-my-iphone-remote-mac-lock/

Po zablokowaniu urządzenia, istnieje możliwość wyświetlenia konkretnego komunikatu na sprzęcie ofiary (docelowo ma to służyć np. umieszczeniu prośby o kontakt w przypadku znalezienia urządzenia, niestety tutaj wykorzystano to do innego celu…). Poniżej widać przykład umieszczony przez jednego z użytkowników Twittera. Ma on wpłacić sumę 50 dolarów w Bitcoinach, aby otrzymać kod. Jest to zatem pewna forma ataku ransomware.

Źródło: https://twitter.com/bunandsomesauce/status/909181846591860736
Źródło: https://twitter.com/bunandsomesauce/status/909181846591860736

Nadal jednak pozostaje pytanie, w jaki sposób ktoś wszedł w posiadanie loginu i hasła do usługi iCloud? Jest kilka opcji. Po pierwsze mogły zostać zdobyte w wyniku ataku phshingowego, gdzie atakujący podszywał się pod komunikaty Apple i prosił np. o pilne zalogowanie się na konto. Po drugie, wiele osób stosuje jednego maila i jedno hasło do wielu (czasami wszystkich) usług. W ten sposób, wystarczy, że nasze dane wyciekną z zupełnie innej strony, a atakujący będzie sprawdzał gdzie jeszcze może się zalogować przy ich pomocy.

Co zrobić by uniknąć ataku?

  • Używaj różnych haseł do różnych serwisów
  • Staraj się stosować różne loginy
  • Skorzystaj z aplikacji do tworzenia haseł oraz menedżerów haseł w celu ich bezpiecznego przechowywania
  • Nigdy nie podawaj i nie zapisuj na kartkach swoich danych do logowania
  • Tam gdzie to możliwe, włącz dwuskładnikowe uwierzytelnianie

[1] https://www.macrumors.com/2017/09/20/hackers-find-my-iphone-remote-mac-lock/
[2] https://www.teamsid.com/worst-passwords-2015/