Ezzel az új módszerrel kerülik meg a hackerek kétfaktoros azonosítást (2FA)

Az ESET vírusirtó szakemberei olyan hamis kriptovaluta alkalmazásokat fedeztek fel, amelyek eddig még ismeretlen módszerrel játsszák ki az SMS-alapú kétfaktoros azonosítást (2FA), megkerülve a Google nemrégiben életbe lépett korlátozásait is. A Google 2019 márciusában szüntette meg az androidos alkalmazások esetében a hívásokhoz és az SMS-üzenetekhez való hozzáférést, hogy elejét vegye azok rosszindulatú felhasználásának.


A “BtcTurk Pro Beta” , “BTCTurk Pro Beta,” és “BTCTURK PRO” nevű programok egy török kriptovaluta kereskedő, a BtcTurk alkalmazásának adják ki magukat, és céljuk a belépési adatok megszerzése. A kétfaktoros azonosításhoz szükséges SMS-üzenetek megzavarása helyett ezek az alkalmazások az egyszer használatos jelszavakat (one-time passwords – OTP) szerzik meg, az eszköz képernyőjén megjelenő hamis figyelmeztetések segítségével. A 2FA értesítések olvasása mellett az alkalmazások el is tüntethetik ezeket, így a felhasználók nem értesülnek a jogosulatlan tranzakciókról. A három alkalmazás 2019 júniusában jelent meg a Google Play áruházban, azonban az ESET figyelmeztetése után eltávolításra kerültek.


A hamis alkalmazások a Google Play áruházban (kép: ESET)
Hogyan működnek?

Azután, amint a hamis BtcTurk alkalmazások települtek, engedélyt kérnek az értesítésekhez való hozzáféréshez (Notification access). Ezek után az alkalmazások már olvasni tudják a készüléken más alkalmazások értesítéseit, sőt törölhetik vagy akár el is tudják tüntetni azokat, illetve ha kattintható gomb is van az értesítésekben, akkor a felhasználó beavatkozása nélkül észrevétlenül jóvá is hagyhatják a tranzakciókat a nevünkben. Az ESET elemzése szerint a támadók kifejezetten az SMS és email alkalmazások által küldött jóváhagyó értesítéseket célozzák a támadás során.

„A Google 2019 márciusától induló korlátozásainak egyik pozitív hozadéka az volt, hogy a hitelesítő adatokat ellopó kártékony alkalmazások többé nem tudtak visszaélni az SMS-alapú kétfaktoros azonosítási mechanizmusokkal. Most azonban, ezeknek a hamis alkalmazásoknak a felfedezésével, láthattuk az első olyan kártevőt, amely képes megkerülni ezt a korlátozást” – mondta az ESET kutatója, Lukáš Štefanko.

Az Android Jelly Bean 4.3 verziójában vezették be először az értesítésekhez való hozzáférési engedélyt, ami azt jelenti, hogy ez az új módszer szinte minden aktív androidos készüléket érint. A hamis BtcTurk alkalmazások az Android 5.0-ás (KitKat) és újabb verziókra érhetők el, így az androidos eszközök több, mint 90 százalékát érinti.

Ennek a technikának is megvannak a maga határai a 2FA azonosítás megkerülésének hatékonysága terén: csak az értesítés terjedelmének megfelelő szöveghez férnek hozzá a támadók, így nem garantálható, hogy ez a rész tartalmazza az egyszer használatos jelszavakat. Az SMS-ekben a 2FA üzenetek többnyire rövidek, és ezért az egyszer használatos jelszavak (OTP-k) bőven beférhetnek ebbe a terjedelembe. Az email-es azonosítások általában hosszabbak, így emiatt ezen támadási módszer ellen védettebbek.

Mit tehetünk?

Hogyan védhetjük meg magunkat az efféle új módszerek ellen, illetve általában az androidos kártevőktől?

  • Csak akkor bízzunk meg a kriptovalutás és egyéb pénzügyi alkalmazásokban, ha a szolgáltatás hivatalos webhelyén lévő hivatkozás vezet a Google Play áruházba.
  • Csak akkor adjuk meg személyes adatainkat az online formanyomtatványokban, ha biztosak vagyunk abban, hogy azok biztonságosak és valóban hivatalosak.
  • Folyamatosan frissítsük készülékeinken az Android hibajavításait, és az alkalmazásokat.
  • Használjunk megbízható mobilbiztonsági megoldást a fenyegetések blokkolásához és eltávolításához; Az ESET megoldásai észlelik és blokkolják ezeket a rosszindulatú alkalmazásokat, emellett ahhoz is lehetőséget biztosítanak, hogy egy biztonsági audit keretében bármikor felülvizsgálhassuk telepített alkalmazásaink hozzáférési engedélyeit. Amikor csak lehetséges, használjunk szoftver alapú vagy hardveres tokeneket az egyszer használatos jelszavak generálásához, az SMS vagy e-mail helyett.
  • Csak olyan alkalmazásokat használjunk, melyeket megbízhatónak ítélünk, és még ezek esetében is csak azoknál engedélyezzük az értesítésekhez való hozzáférést, amelyeknek jogszerű oka van ezt kérni.

Áció, káció, KYC!

Az utóbbi pár évben már-már megszokottá vált a KYC, azaz az “ismerd az ügyfeled” címszó alatt bekért személyes privát dokumentumok megadása egyes oldalakon.

A kriptós közösség egyik tagja jelezte, hogy a kiutalást a Binance rendszere VPN használat miatt tiltotta a mai napon, és csak teljeskörű verifikáció után oldható fel. Mindenesetre érdemes figyelembe venni, hogy, ha nem a megszokott helyről jelentkezik be az ember, blokkolhatják a fiókját.
A Poloniex kriptotőzsde is egyik napról a másikra tette kötelezővé a KYC-et. A képet készítő reddites felhasználó megnyitott hibajegyeit is figyelmen kívül hagyták, számláját blokkolták.
Bittrexen és a Krakenen sem ismeretlen fogalom a blokkolás, úgy látszik.
Illetve a HITBTC-re is számos panasz érkezett a pénzek kiutalásával kapcsolatban.



Az adatok bekérésére hivatkozik számos tőzsde, és mlm felépítésű oldal, hogy megkaphassuk kifizetéseinket.
Törvényi szabályozás megfelelésének kényszere alá bújva szürke zónában mozgó, vagy éppen nem egészen törvényes tevékenységet folytató oldalak is ugyanúgy bekérik ezeket a privát adatokat, mint bármely hivatalos szerv, például egy bank.

A kérdés adott.
Vajon mennyire bizalmasan, milyen biztonságban kezelik adatainkat?

Még a nagyobb, legitim cégek, mint a Coinbase sem gondoskodnak kellőképpen a privát adatok biztonságos és jogszerű kezeléséről, szándékosan értékesítik azt.

Ami még ennél is rosszabb, hogy az utóbbi években számos hack bizonyítja, hogy van még mit fejlődni biztonságtechnika terén.

Felbecsülni is nehéz, hogy az adatlopások során valójában mennyi bizalmas adat került értékesítésre a darkweben ezzel megnövelve a személyiség lopások kockázatát, adatainkkal való visszaélést.

Unconfirmed tranzakciók és a bitcoin árfolyam kilengésének kapcsolata

Napi volumenen mért nagyobb kilengés

Többször megfigyeltem már, hogy ha a bitcoin hálózatán megnövekedik az unconfirmed tranzakciók száma, utána nem sokkal megfigyelhető egy nagyobb esés vagy növekedés legnagyobb kriptovalutánk árfolyamában is.

Habár pár órája még 50 000 felett is volt a megerősítetlen tranzakciók száma, azóta is viszonylag magas.

Természetesen ebből messzemenő következtetéseket levonni nem lehet, mindenesetre, akik aktívan kereskednek, érdemes ezt is figyelemmel kísérni egy-egy pozíciónyitás előtt.