A Twitter nemrég bejelentette, hogy már nem tartja elég biztonságosnak az SMS-alapú kétfaktoros hitelesítést (2FA), és ezt a hitelesítési módot meg is szünteti a nem fizetős felhasználók számára. Akik nem rendelkeznek előfizetéssel, azoknak még 2023.03.17-e előtt át kell állniuk egy másfajta 2FA rendszer, például hitelesítő alkalmazás használatára, ha biztonságban szeretnék tudni a fiókjukat. Minderről az NBSZ NKI egy korábbi cikkében részletesebben is írtunk.
Ez a gyakorlatban azt jelenti, hogy olyan alkalmazást vagy tokent kell használni, amely elvégzi a személyazonosságunk hitelesítésének a kriptográfiai részét. Ez lehet egy hardveres token (például egy Yubikey) vagy akár egy alkalmazás is.
Tommy Mysk, a @mysk_co társalapítója így fogalmazott:
„Miután a Twitter leállította a 2FA SMS-módszert, több hitelesítési alkalmazást is elemeztünk. Sok csaló alkalmazással találkoztunk, amelyek szinte ugyanúgy néztek ki, mint az eredetiek (…) Egy olyat is találtunk, mely minden beolvasott QR-kódot elküldött a fejlesztő Google Analytics-fiókjába.”
Mysk egy másik problémára is felhívta a figyelmet. Amennyiben a telefonunk alkalmazás áruházában rákeresünk az „Authenticator app” kifejezésre, az alábbi eredményeket kapjuk:
Which authenticator app am I gonna go with? 🤔 pic.twitter.com/iO3y91D2Gp
— Mysk 🇨🇦🇩🇪 (@mysk_co) February 20, 2023
A bűnözők gyakran alkalmazzák az ún. „typosquatting” módszert, ahol egy betűt kicserélnek egy eredetihez hasonló karakterre. Így a két név valóban nem fog megegyezni, azonban vizuálisan épp annyira hasonlít az eredetihez, hogy első pillantásra megtévessze az embert.
Ebbe a kategóriába tartozó csaló alkalmazások általában arra próbálják rávenni a felhasználókat, hogy évente 20 és 40 dollár közötti összegért fizessenek elő. Ez körülbelül olyan összeg, amennyibe egy jó hírű hardveres 2FA token kerülne, amely évekig használható-, és biztonságosabb is lenne:
Many of these suspicious authenticator apps use this technique to trick users. After you finish the welcome wizard after the first launch, you get the in-app purchase view. And the x button to dismiss the view appears after a few seconds (upper right corner)#AppStore pic.twitter.com/sgxEo5ZwF0
— Mysk 🇨🇦🇩🇪 (@mysk_co) February 20, 2023
A Google Play-en egy olyan alkalmazás szerepelt a találatok között, amelyről a @mysk_co már korábban is tweetelt, és arra figyelmeztetett, hogy nemcsak pénzt követel, hanem ellopja a 2FA-hoz beállított fiókok adatait is.
Just like its #iOS version, this #Android authenticator app sends scanned QR codes to a remote server. It has been downloaded 500K+ times. It's among the top 5 hits when you search for #2FA apps on @GooglePlay.
Spread the word and warn your friends✌️#Privacy pic.twitter.com/5qlbXGyu0R— Mysk 🇨🇦🇩🇪 (@mysk_co) February 25, 2023
Mit tehetünk?
Amennyiben a közelmúltban választott hitelesítő alkalmazást, javasoljuk annak felülvizsgálatát a mostani ismeretek fényében.
Fogjon gyanút, ha a letöltés során alkalmazáson belüli jogosulatlan fizetésre került sor, az alkalmazás tele van hirdetésekkel vagy a megszokottnál nagyobb marketinggel és „vásárlói” visszajelzésekkel rendelkezik, azonban mégis olyan cégtől származik, amelyről még csak nem is hallott. Továbbá mindenképp kérje ki egy szakértő véleményét a témával kapcsolatban!
Abban az esetben, ha Apple-t használ, a beépített jelszókezelő képes 2FA-kódokat generálni tetszőleges számú weboldalhoz, így nincs szükség további szoftverek telepítésére. A Google pedig saját Google Authenticator alkalmazássál rendelkezik, mely letölthető a Play Store-ból.
Amennyiben úgy dönt, hogy hitelesítőt vált, mert nem biztos a meglévőben, mindenképpen törölje a tárolt adatait a korábban használt alkalmazásból!