Amerikanska säkerhetsforskare har nyligen uppmärksammat en så kallad fiske-attack mot speciellt utvalda amerikanska medborgare som regeringstjänstemän, journalister och aktivister. Attacken är speciell i det att förövarna lyckats gå runt de två-faktor-autentiseringar som förmedlas av bland andra Google och Yahoo. Incidenten understryker svagheterna med två-faktor-autentiseringar som nyttjar en-klicks-login eller engångslösenord, i vart fall om lösenorden skickas per sms, skriver Ars Technica.

Enligt de amerikanska forskarna har en iransk hackergrupp, med kopplingar till regimen i Iran, inhämtad detaljerade personuppgifter om utvalda offer och sedan riktat så kallade spjutfiske-attacker mot dessa personer. Enligt en bloggpost som forskarna publicerat har dessa epost innehållit en så kallad pixel, en liten dold bild som i realtid talar om för förövarna när offret öppnar eller läser eposten.

Utöver pixeln innehöll eposten länkar till falska versioner av Googles och Yahoos inloggningssidor. När offren öppnat dessa sidor har förövarna, parallellt och i realtid, matat in offrens inloggningsuppgifter på de riktiga sajterna. Detta liknar de attacker mot banktjänster via BankID som skett i Sverige, men i de fallen har förövarna istället ringt upp offren.

Det intressanta i det amerikanska fallet är att om offren använt sig av två-faktor-autentisering har förövarna dirigerat om offren till en annan falsk sida som härmar två-faktor-autentiseringen.

– Med andra ord har förövarna fått fram offrens användarnamn och lösenord i realtid på dessa falska sajter, och även om offren använt två-faktor-autentisering via sms eller en autentiserings-app kan det ha hänt att förövarna kommit över den informationen också, skriver Certfa Lab, som undersökt incidenten, i sin bloggpost.

I en skriftlig kommentar till Ars Technica bekräftar forskarna att förövarna kommit över offrens konto som skyddas av två-faktor-autentisering via sms, men de kan inte se att så skett med två-faktor-autentiseringsappar, som Google Authenticator eller motsvarande från till exempel Duo Security, som skapar engångslösenord.

– Vi kan se att de försökt att komma över konton via Google Authenticator, men vi kan inte se om de lyckats, men vi är helt säkra på att de lyckades via sms, skriver forskarna på Certfa Labs.

I teorin borde tekniken fungera även med Google Authenticator och liknande, det hänger på att förövarna kan komma över engångskoden genom sin falska sajt i tid. Oftast har de 30 till 60 sekunder på sig att snappa upp engångskoden och knappa in den på den äkta inloggningssidan. Det enda två-faktor-autentisering tillför i ett sådant scenario är ett extra steg.

Enda undantaget som, åtminstone teoretiskt, är helt säkert vid denna typ av attacker är om engångslösenordet skapas med hjälp av hårdvara, en så kallad säkerhetsnyckel, eller HSM (Hardware Security Module). Dessa måste fysiskt sitta i en usb-port (eller bluetooth/NFC om man använder den tillsammans med en mobil) i den dator man loggar in från. Även så kallade tpm-kretsar i mobilen/plattan/datorn bör hjälpa mot denna typ av attacker.

Man bör begrunda att denna typ av attacker bygger på social ingenjörskonst, det vill säga man lurar offren till ett skadligt beteende, i detta fall att logga in på falska sajter. Bortsett från säkerhetsnycklar är det svårt att tekniskt bygga bort risken för dessa attacker.

I detta fall var förövarna väldigt listiga i sitt sätt att lura kunderna. Till exempel hade de placerat sina sidor på sites.google.com och skickat eposten från adresser som mailservices@gmail.com och noreply.customermails@gmail.com, vilka förvisso är "falska” men ger defvinitivt intryck av att komma från Google. Förövarna använde sig dessutom av hela 20 olika domäner för att anpassa sin attack för specifika offers epost-tjänster.

Denna attack använde ip-adresser och domäner med koppling till hackergruppen "Charming Kitten” som tidigare länkats till den iranska regimen. Attacken genomfördes några veckor innan USA stärkte handelssanktionerna mot Iran tidigt i november. Offren för attacken var uteslutande personer som på ett eller annat sätt är involverade i sanktionerna, som politiker, människorättsaktivister, personer inom iranska civilsamhället, personer på amerikanska tankesmedjor, journalister som skrivit om sakfrågan och över ett dussin anställda på amerikanska finansdepartementet.

Läs också:
Hejdå till lösenord på företaget – så funkar Windows Hello for Business
Vi hackade ett Google-konto på fem minuter – tack vare teleoperatörens slarv