Parunāsim par to, kā hakeri apiet divu faktoru autentifikāciju. Iepriekšējā video es stāstīju par to, cik svarīgi ir uzstādīt šo divu faktoru autentifikāciju, jo tā Tavu kontu sargā. Un tā sargā šādā veidā: tātad, ja kāds uzzina Tavu lietotājvārdu un paroli, viņiem nepietiek ar to, ka viņi to ievada login formā, jo tad uz Tavu telefonu atnāks īpašs verifikācijas kods, kurš arī ir jāievada tajā login formā. Un, ja tas netiek ievadīts, tad šis hakeris netiek iekšā Tavā kontā. Un tā kā viņam nav Tavs telefons, tad viņam pie šī koda piekļūt ir ļoti grūti. Tātad tā ir pamatideja, kā strādā šis divu faktoru verifikācijas mehānisms. Bet tagad pastāstīšu par triku, kā to var apiet. Piemēram, ja es esmu hakeris, ja es gribu tikt iekšā kāda cilvēka Facebook kontā. Un es zinu, ka viņiem ir divu faktoru autentifikācija uzstādīta savam profilam, līdz ar to man jāveic viens papildus solis.
Tātad pirmais, ko es darītu, es uztaisītu viltus lapu ar viltus Facebook login formu un panāktu, ka cilvēks nonāk tajā viltus Facebook lapā. Tālāk es panāktu, ka viņš ievada tajā viltus Facebook lapā savu e-pastu un paroli. Un tas e-pasts un parole atnāk pie manis. Es tajā brīdī varu ievadīt šo e-pastu un paroli no sava datora un mēģināt tikt viņa kontā iekšā. Problēma, protams, tāda, ka tiklīdz to būšu izdarījis, no mana datora tā kā prasīs nākošo verifikācijas soli, lai es ievadu sms kodu, kas tika aizsūtīts uz viņa telefonu. Un tā kā man nav viņa telefona, es īsti netieku pie šī sms koda klāt un it kā kontā netieku. Bet triks ir tāds, ka šis kods šim cilvēkam atnāks, un viņš šajā brīdī cenšas caur šo viltus lapu autorizēties šajā platformā. Kas nozīmē – ja es šajā viltus lapā varu arī uztaisīt viltus nākamo soli, kurā es viņam prasu, lai viņš aizpilda šo sms kodu, kas viņam tikko atnāca, tad, ja viņš ir ieslēdzis divu faktoru autentifikāciju, viņš jau gaidīs šādu pagriezienu. Un viņš jau tā kā ievadīs šo kodu iekšā, jo tā būs standarta prakse, pie kā viņš ir pieradis. Tajā brīdī tas sms kods aizies nevis uz Facebook lapu, bet gan aizies pa tiešo uz mani, jo tā ir tā viltus Facebook lapa. Un tad, kad es to sms kodu saņemu, es to varu ievadīt savā īstajā Facebook formā. Un tajā brīdī es būšu pilnvērtīgi autorizējies kā tas cilvēks un varēšu arī veikt visas darbības, ko es vēlos darīt. Un tam cilvēkam vienkārši viņam parādīsies, ka kaut kas ir nepareizi un lai viņš mēģina vēlreiz. Viņš tiks redirektēts uz Facebook lapu vēlreiz, kur viņš varēs to izdarīt vēlreiz. Un tā kā tā būs īstā lapa, tad jau tas strādās, un cilvēks domās: nu labi, iekšējā reizē viņš kaut ko sajauca. Bet tas parāda to pamata būtību, ka arī šī divu faktoru autentifikācija ir apejama, ja Tu to vari tiešajā laikā izdarīt caur citu viltus Facebook login autorizācijas formu.
Un tātad, kā no tā sargāties? Nu, protams, pirmais, kas ir svarīgi, ir vienkārši skatīties, vai adresē ir pareizais ceļš. Un vai nu viss izskatās pareizi. Tiklīdz Tu redzi kaut ko aizdomīgu, ļoti pievērs uzmanību, un šādās lapās, protams, šīs informācijas nevajag vadīt iekšā. Bet joprojām divu faktoru autentifikācija ir drošāks mehānisms nekā bez tā, jo citādā gadījumā man pietiktu uzzināt tikai viņa e-pastu un paroli, un es jau varētu autorizēties. Tagad man vajag reāli mijiedarbību un saziņu ar šo cilvēku, kurš ir pie telefona tajā brīdī, lai šis verifikācijas kods no viņa telefona caur viltus lapu, caur manu kontu un caur, teiksim, caur Facebook Login nonāktu sistēmā, un tikai tad viņš tiek verificēts.