This post is also available in: enEnglish (אנגלית)

מתוך מטרה להפוך חשבונות מקוונים לבטוחים יותר, שירותים רבים מציעים כעת זיהוי בעזרת שני גורמים. מומחים לאבטחת סייבר מייעצים לאפשר את אבטחת שני הגורמים על מנת להוסיף שכבת הגנה נוספת לסיסמה הרגילה. מערכת שני הגורמים בדרך כלל שולחת קוד לנייד של המשתמש, בעזרתו צריך להתחבר, יחד עם שם משתמש וסיסמה. למרות זאת, קווין מיטניק, לשעבר האקר מבוקש על ידי ה-FBI והיום מועסק על ידי חברות רבות המחפשות דרכים להגן על עצמן מתקיפות סייבר, אומר כי תהליך הזיהוי במערכת שני הגורמים יכולה להיות פגיעה.

"הכלים בשביל להוציא לפועל את התקיפה על המערכת למעשה נעשו פומביים. כך שכל ילד בן 13 יכול להוריד את הכלי ולמעשה לבצע את התקיפה", כך אמר לפי cnbc.com.

התקיפה מתחילה כאשר עבריין סייבר שולח אימייל שנראה אמיתי, ומבקש מהנמען ללחוץ על לינק. כאשר המשתמש לוחץ על הלינק הוא מועבר לעמוד התחברות של האתר האמיתי, יחד עם הכנסת הקוד שנשלח למכשיר הסלולרי. באופן סודי, אולם, תהליך ההתחברות עבר דרך השרת של ההאקר.

"אם אנחנו יכולים לגנוב את הפרטים של סשן ההתחברות הזה של המשתמש, אנחנו יכולים להפוך להיות הוא, ולכן אין לנו צורך בשם המשתמש, הסיסמה, או קוד הגורם-השני בשביל להתחבר.   

ממטניק השתמש ב-LinkedIn בשביל להדגים את המתקפה אבל אמר שגם אתרים רבים אחרים פגיעים.

האימייל בו היה הקישור שעליו הוא לחץ נראה בדיוק כמו בקשת התחברות מ-LinkedIn, שלמעשה הגיעה מאתר מזוייף – Inked.com. לדבריו, רוב האנשים לא היו מבחינים בהבדל. "LinkedIn היא לא הפגיעה, אלא המשתמש… מדובר בפגם באבטחה אצל המשתמש".

בהצהרה של דוברת LinkedIn נאמר כי הרשת המקצועית לוקחת את הדוגמה של מיטניק "מאוד ברצינות", ושיש לה "מספר אמצעים טכניים, בעזרתם תוכל להגן על החברים בה מפעולות מרמה."

עוד נמסר כי "כאשר אנחנו מזהים פעילות כזאת אנחנו עובדים במהירות כדי להסיר אותה ולמנוע חזרות שלה בעתיד. אנחנו ממליצים בנחישות למשתמשים לדווח על כל מקרה הנדמה להם כמרמה, ולהשתמש במרכז העזרה למשתמשים שלנו כמשאב ללמוד ולהגן על עצמם מתרמיות אונליין".

כדי להגן על עצמן מפעולות כאלו, חברות מסוימות משתמשות בכלי שנקרא מפתחות אבטחה. במקום לשלוח קוד לטלפון הנייד, מפתחות האבטחה מכילים שבב תוכנה ומשתמשים ב-Blutetooth או ב-USB בשביל הגורם הנוסף בעזרתו ניתן להתחבר אל החשבון. לאחרונה, גוגל השיקה את הגרסה שלה למכשיר, הנקרא -Titan Security Key.

"מפתח האבטחה מאכסן סיסמה משל עצמו ודורש מהאתר להוכיח שהוא לגיטימי לפני שהוא משחרר את הסיסמה ומאפשר לך להתחבר", לפי גוגל.