La Autenticació de dos factors generalment es considera el joc més segur per protegir els vostres comptes de Google, que requereix que (l'usuari) introduïu un codi que heu rebut per SMS al telèfon abans de poder iniciar la sessió en un compte protegit per 2FA. Això impedeix que qualsevol persona tingui accés no autoritzat al vostre compte, fins i tot si aconsegueixi controlar la vostra contrasenya. I aquest procés d’autenticació de doble capa compta amb el suport de nombrosos serveis en línia, inclosos els grans bancs, Google, Facebook i fins i tot el govern.
Però és possible que hàgiu escoltat alguns informes sobre pirateig de comptes de Gmail, tot i que l’usuari hagi habilitat l’autenticació de dos factors o Google 2FA. Això es deu al fet que els pirates informàtics utilitzen un nou truc per atraure els usuaris créduls, enviant-los un SMS fent-se passar per Google, demanant el codi de verificació 2FA.
A principis d'aquesta setmana, Alex MacCaw, cofundador de dades API Company Clearbit, ha fet una piulada a la captura de pantalla d'un missatge de text que havia rebut intentant enganyar-se amb el pas de 2FA en un compte de Google.
Tingueu en compte que hi ha un atac desagradable d’autorització de factor Google 2. pic.twitter.com/c9b9Fxc0ZC
- Alex MacCaw (@maccaw) Juny 4, 2016
El missatge diu el següent:
“(Notificació de Google ™) Recentment hem notat un intent d'inici de sessió sospitós a jschnei4@gmail.com des de l'adreça IP 136.91.38.203 (Vacaville, CA). Si no vau iniciar la sessió des d'aquesta ubicació i voleu bloquejar el compte temporalment, responeu a aquesta alerta amb el codi de verificació de 6 dígits que rebreu momentàniament. Si vau autoritzar aquest intent d'inici de sessió, ignoreu aquesta alerta. ”
Així és com funciona el truc del pirata informàtic:
- El pirata informàtic envia a l’objectiu un missatge de text, fent veure que és l’empresa amb la qual l’objectiu té un compte.
- El missatge de text diu que l’empresa ha detectat activitat “sospitosa” al compte de l’objectiu i, per tant, els envia el codi de 6 dígits, que l’usuari objectiu hauria de tornar-li a enviar per enviar un missatge de text per evitar que el seu compte estigui bloquejat.
- L’usuari objectiu, preocupant-se que estan sent piratejats i que no volen perdre l’accés a les seves dades, envia el codi de nou, creient que han frustrat l’intent de pirateig.
- Però, en fer-ho, proporcionen al pirata informàtic un codi de seguretat per accedir al compte.
- Posteriorment, el pirata informàtic introduiria la contrasenya de l’usuari objectiu, seguit d’aquest codi 2FA que no s’ha obtingut, i accediria al compte sense que l’usuari real ho sabés.
Afortunadament, MacCaw va ser prou intel·ligent per detectar les seves estratègies i no va caure en aquest nou tipus d’engany social. Tot i això, si sou usuari de Gmail, haureu de tenir més precaució ja que els pirates informàtics ofereixen nombroses tècniques per accedir als vostres comptes de Gmail i Google. I no envieu missatges de text als vostres codis 2FA, encara que semblin legítims.
