Kaksivaiheinen tunnistus on usein viimeinen este hyökkääjän ja kohteena olevan organisaation välissä. Ja joskus se ohitetaan helposti.

Älä hyväksy tuntemattomia vahvistuspyyntöjä. Kuva: Colourbox

Tietomurtajat eivät aina tarvitse kehittyneitä konnankoukkuja onnistuakseen, Uberin kärsimä vahinko todistaa. Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus huomauttaa, että murtoon riitti todella yksinkertainen toimintatapa.

Aiemmin syyskuussa kerrottiin, että teini-ikäisen hyökkääjän uskotaan tunkeutuneen kyytipalvelu Uberin järjestelmiin erään työntekijän varastetun salasanan avulla. Saman hakkerin epäillään murtautuneen myös Koneen Rockstar Gamesin järjestelmiin.

Kyberturvallisuuskeskuksen mukaan Uberin työntekijällä oli käytössään monivaiheinen tunnistautuminen, mutta se ohitettiin.

Lue lisää: Uber murrettu - hakkeri varasti tietoja ja julkaisi pornoa

Lue lisää: Verkkohyökkäys Koneeseen - Uber- ja GTA-hakkeria epäillään

Salasanaan perustuvaa kirjautumista on viime vuosina pönkitetty kaksi- tai monivaiheisella tunnistuksella. Siinä kirjautumiseen vaaditaan pelkän salasanan lisäksi myös esimerkiksi puhelimeen tuleva vahvistuskoodi tai kirjautumisen vahvistaminen puhelinsovelluksella.

Uberin työntekijän tapauksessa hyökkääjä yksinkertaisesti yritti sisäänkirjautumista toistuvasti aiheuttaen uhrille useita push-ilmoituksia. Lopulta käyttäjä hyväksyi yhden kirjautumisyrityksen puhelimeltaan, ja ovet Uberiin avautuivat.

Menetelmää kutsutaan väsytyshyökkäykseksi. Siinä voidaan aiheuttaa uhrin puhelimeen niin monta peräkkäistä kirjautumisilmoitusta, ettei sitä voi käyttää enää mihinkään muuhun. Uhrille saatetaan myös soittaa tai lähettää viesti, jossa esiinnytään organisaation it-tukena ja kehotetaan hyväksymään kirjautuminen.

Väsytyshyökkäyksen torjumiseksi monivaiheiseen tunnistautumiseen suositellaan puhelimen push-ilmoituksen sijaan muita tapoja, kuten todennussovelluksen kertakäyttösalasana tai fyysinen todennuslaite.

Kyberturvallisuuskeskuksen viikkokatsauksen mukaan luvattomien kirjautumisyritysten määrä eri organisaatioita kohtaan on nousussa. Useassa keskuksen tietoon tulleessa tapauksessa monivaiheinen tunnistautuminen on estänyt rikollisen pääsyn tilille. Mutta keskus korostaa, että siihen ei pidä luottaa sokeasti.

Vaikka monivaiheinen tunnistautuminen suojaa tehokkaasti käyttäjätilejä, ei sitä voida pitää täydellisenä suojauksena.