Većina prijevara online i dalje se vrti oko jednog cilja: krađe vaše lozinke. Naučili smo paziti na lažne stranice za prijavu, sumnjive poveznice i hitne e-poruke koje nas traže 'provjeru' vjerodajnica našeg korisničkog računa.

Ali, novi val napada na korisničke račune pri Microsoftu funkcionira na drugi način.

Žrtve se prijavljuju na Microsoftovu pravu web stranicu, koriste stvarne sigurnosne provjere, pa čak i uspješno dovrše višestupanjsku provjeru, a napadači i dalje dobivaju pristup.

Ova tehnika, poznata kao phishing koda uređaja, uopće ne krade vašu lozinku već vas navede na to da sami odobrite pristup, koristeći Microsoftov vlastiti sustav za potvrdu identiteta točno onako kako je dizajniran.

Kritična točka ste - vi

Kao i druge velike tehnološke tvrtke, Microsoft je podržao tijek autorizacije uređaja (poznato i kao prijava kodom uređaja).

Vjerojatno ste se već susreli s njime - to je ona situacija u kojoj je, umjesto pune stranice za prijavu, prikazan odgovarajući kod za prijavu na svim vašim uređajima koji morate uskladiti ili unijeti kako biste dovršili postupak prijave.

To je stvarno praktično, posebno na uređajima koji ne mogu lako prikazati cijelu stranicu za prijavu ili u slučajevima kada se spajate na uređaj ograničene upotrebe (recimo televizor).

Većinu vremena ovaj je proces potpuno siguran. Ali, zloraba je moguća.

Problem je u tome što procesi prijave uređaja pretpostavljaju kako je osoba koja unosi kod pokrenula zahtjev. Ako napadač zna vašu adresu e-pošte ili neki drugi poznati kontaktni podatak, može pokrenuti zahtjev za prijavu uređaja sa svog uređaja, započinjući jedinstvenu sesiju.

Zatim Microsoft (i druge tehnološke tvrtke) generiraju legitimni kod uređaja vezan za tu sesiju.

Napadač ga neće nužno sam iskoristiti. Umjesto toga, može vam poslati kod izravno, prikriven kao drugi proces, pri čemu često koriste poznate phishing taktike:

• sigurnosno upozorenje koje tvrdi kako postoji sumnjiva aktivnost
• hitna obavijest o Microsoftu 365
• poruke iz Teamsa ili poruka IT podrške
• poslovni ili drugi zahtjevi putem e-pošte.

Zahtjev vas upućuje na odlazak na službenu Microsoftovu stranicu za prijavu i unos priloženog koda kako biste 'zaštitili' ili 'potvrdili' račun.

Otići ćete na stvarnu Microsoftovu stranicu za prijavu i provjeru identiteta.

Potom unosite kod uređaja za prijavu kao i obično, odobravate zahtjev i mislite kako ste zaštitili svoj račun. Ali, zapravo ste omogućili pristup napadaču, predajući mu ključeve svog računa u tom procesu.

U cijelom procesu vaša lozinka nikada nije otkrivena, a ipak ste izravno predali svoj račun.

Zašto prijevara s prijavom kodom uređaja tako dobro funkcionira?

Najveći problem s prijevarama s prijavom kodom uređaja je taj što zaobilazi većinu tradicionalnih taktika phishing prijevara, koje uključuju kloniranu ili na drugi način lažiranu stranicu za prijavu, kao i sustav koji presreće vjerodajnice.

Prijevara s prijavom kodom uređaja zaobilazi sve to, zbog čega se čini kako je sve legalno i legitimno. Između ostalog, i zbog toga što dobrim dijelom jest - svi procesi rade točno onako kako bi trebali, osim u jednom malom dijelu.

Što napadač može dobiti s vašim pristupnim tokenom?

Po dovršetku potvrde identiteta, Microsoft izdaje pristupni token, koji funkcionira kao privremeni dokaz kako je prijava već provjerena.

Sustav pretpostavlja kako je nositelj već dokazao svoj identitet, pa dopušta pristup bez ponovljenog traženja vjerodajnica.

S tim tokenom napadač može pristupiti, primjerice, vašoj e-pošti u Outlooku ili drugim uslugama povezanim s adresom (resetiranjem lozinki, pristupom 2FA kodovima...)

Kako se zaštititi?

Najbolja obrana je razumijevanje kako napad prijavom koda uređaja funkcionira. Čak će i osnovna razina razumijevanja procesa prijave uređaja pružiti određenu razinu zaštite, piše Make Use Of.

Kodovi za prijavu uređaja trebali bi pojavljuju se samo kada sami pokrenete prijavu na drugom uređaju.

Microsoft vam neće nasumično poslati kod za zaštitu vašeg računa, slično kao što vam nikada neće poslati poruku u kojoj traži lozinku, potvrdu 2FA koda i tome slično.

Slijedite uobičajena sigurnosna pravila za uočavanje phishing prijevara:

• nikada ne unosite kod za prijavu poslan putem e-pošte, chata ili tekstualnih poruka
• tretirajte neočekivane zahtjeve za autentifikaciju na isti način kao što biste tretirali zahtjev za lozinku
• ako primite upit koji niste pokrenuli, odmah ga odbijte
• redovito pregledavajte aktivnost prijave na Microsoft za nepoznate aplikacije ili sesije.