Sve više se pojavljuje obrazac ljudi čiji su nalozi hakovani uprkos tome što su imaju Google 2FA zaštitu i ne mogu da oporave svoje naloge
Osim broja kompromitovanih Google naloga uprkos tome što imaju 2FA zaštitu, čini se da postoji još jedan zajednički imenilac u obliku kriptovalute Ripple Labs – ili, bolje rečeno, prevare koje koriste XRP.
Ripple je preko mreže X pokušao da proširi svijest o sve većem broju napada na Gmail i YouTube naloge koji se zatim koriste da zarobe čitaoce i gledaoce raznim prevarama. Najčešći od njih je ono što je poznato kao prevara kripto-udvostručavanja, koja obećava povrat dvostrukog iznosa XRP-a koji neko pošalje na ono što se smatra pravim Ripple menadžerskim nalogom. Neki od kompromitovanih YouTube naloga su, na primjer, koristili deepfake generisani video generalnog direktora Ripple Labsa, Brada Garlinghousea, radi autentičnosti.
U X objavi objavljenoj 11. aprila, Ripple Labs upozorava da nikada neće tražiti od bilo koga da pošalje XRP i upućuje zabrinute čitaoce na savjete o tome kako da izbjegnu prevare sa kriptovalutama.
Istraživači Proofpoint Emerging Threats kažu da se niz zlonamjernih programa za krađu informacija širi putem YouTube kanala i navodno su piratske video igrice ili povezani softverski krekovi. Koristeći opise videa kao mamac, obećavajući gledaocima savjete o tome kako besplatno preuzeti video igre, linkovi zapravo na kraju odvode korisnika na web lokacije koje umjesto toga isporučuju sadržaj zlonamjernog softvera.
Osim igračkih mamaca, svi napadači su koristili slične instrukcije za onemogućavanje antivirusa zajedno sa metodom naduvavanja sličnih veličina datoteka u pokušaju da zaobiđu bezbjednosnu zaštitu. Ono što istraživači Proofpointa sa sigurnošću mogu reći je da napadači uporno ciljaju na YouTube korisnike, a ne na poslovne korisnike.
Istraživači preporučuju korisnicima YouTube-a da traže “značajne vremenske razmake između objavljenih videa, sadržaja koji se znatno razlikuje od prethodno objavljenih videa, razlike u jezicima”, zajedno sa zlonamjernim linkovima u opisima. Ovo posljednje je, nažalost, mnogima lakše reći nego učiniti, piše Forbes.
Kako hakeri zaobilaze 2FA zaštitu?
Odgovor na pitanje „Kako akteri prijetnji hakuju 2FA zaštitu?“ je da ne rade. Jednostavno ga potpuno zaobilaze. Najvjerovatnije je da su korisnici koji su izgubili pristup svom Google nalogu, a lozinke i 2FA detalji promijenjeni kako bi ih spriječili da se vrate, postali žrtve onoga što je poznato kao napad na otmicu kolačića sesije.
Ovaj napad najčešće počinje fišing e-poštom koja vodi do zlonamjernog softvera koji može da uhvati kolačiće sesije koji su dizajnirani da pomognu korisnicima da se brže prijave, vrate se tamo gdje su stali itd. Problem je u tome da ako haker može doći do ovih kolačića nakon što se korisnik uspješno prijavio, onda ih u suštini može ponovo reprodukovati i zaobići potrebu za 2FA kodom. Što se stranice tiče, autentifikacija je već uspjela, korisnik je već prijavljen.
Google je svjestan ovog problema, koji postoji već izvjesno vrijeme.
„Postoje tehnike koje koristimo i stalno vršimo ažuriranja kako bismo otkrili i blokirali sumnjive pristupe koji ukazuju na potencijalno ukradene kolačiće“, kažu iz Google-a.
Ipak, nije sve izgubljeno ni za korisnike koji su već hakovani i čija je dvofaktorska autentifikacija promijenjena, prema navodima iz Google-a. Ali korisnici za preduzimanje akcije imaju samo sedam dana.
„Naš automatizovani proces oporavka naloga omogućava korisniku da iskoristi svoje originalne faktore oporavka naloga do sedam dana nakon što se on promjeni, pod uslovom da su ih podesili pre incidenta“, ističu iz kompanije.
Kada je u pitanju uobičajena bezbjednost naloga, Google preporučuje korisnicima da obezbjede da nalog bude podešen za oporavljanje, kako bi bilo manje rizika ukoliko je potrebno da vrate pristup u svoje ruke.