Kreatywność ludzi, którzy usiłują nas okraść za pośrednictwem internetu, nie przestaje mnie zadziwiać. Pomysł, o którym ostatnio przeczytalem, po raz kolejny udowadnia, że najsłabszym punktem każdego systemu komputerowego jest „łącznik między klawiaturą i fotelem”.
Zaczyna się od tego, że przestępca wypatruje w internecie osobę, która coś sprzedaje (czy to jako mała firma, czy na serwisie aukcyjnym, etc.), posiadającą numer telefonu w konkretnej sieci. Dzwoni do niej i informuje, że chętnie dokona zakupu, ale z uwagi na to, że w dzisiejszym świecie ciężko komukolwiek z założenia – o ironio! – ufać, chciałbym go sprawdzić. Sprawdzenie ma polegać na tym, że za chwilę na jego telefon przyjdzie SMS z kodem i prosi tylko o podanie tego kodu.
Nie wygląda podejrzanie? Teoretycznie, rzecz w tym, że przestępca chwilę wcześniej wszedł na portal samoobsługowy operatora, wybrał opcję „zapomniałem hasła” i wpisał numer telefonu atakowanego. Jeśli ten zainteresowany propozycją zakupu nie zauważy o jaki SMS chodzi i bez zastanowienie wyśle kod – atakujący będzie miał dostęp do jego konta u operatora…
Genialnie w swojej prostocie, ale – na szczęście – nie w przypadku Orange Polska. Jeśli zapomnicie hasło do naszego portalu, przychodzi ono do Was za pośrednictwem tzw. SMSa klasy „0” (pojawia się wyłącznie na wyświetlaczu telefonu, nie w skrzynce). Dodatkowo w tekście wyraźnie widać, iż jest to wiadomość od Orange, zawierająca tymczasowe hasło do portalu. Dodatkowo, wykonanie przez klienta Orange jakiejkolwiek operacji finansowej, zabezpieczone jest za pomocą uwierzytelniania dwuskładnikowego. Jeśli wtedy da się przekonać złodziejowi do podania kolejnego hasła, to… mam nadzieję, że wcześniej trafi na ten wpis.
