Phishing-aanvallen

'Staatshackers omzeilen tweestapsverificatie Gmail'

19 december 2018 18:19

Amnesty International meldt dat gewiekste staatshackers ook Gmail-accounts met de extra beveiligingslaag tweestapsverificatie binnen weten te dringen.

Criminele hackers vinden steeds weer nieuwe manieren om in de accounts van slachtoffers te komen, ook als die accounts een tweede code als extra beveiliging hebben. Mensenrechtenorganisatie Amnesty International legt uit hoe het hackers lukt om goed beschermde accounts met tweestapsverificatie toch binnen te dringen.

De methode klinkt simpel: doelwitten krijgen zoals gebruikelijk bij phishing-aanvallen een nepversie van bijvoorbeeld de Gmail-loginpagina voorgeschoteld. Maar voor wie tweestapsverificatie gebruikt, stopt het daar meestal. Om in te kunnen loggen in het account is immers de tijdelijk geldige code nodig die gebruikers via sms of een authenticator-app krijgen. Bij de sms-methode wordt de code alleen verstuurd als gebruikers inloggen via de echte loginpagina van Gmail, en in beide gevallen is er maar beperkt de tijd om de tweede code in te voeren.

Automatisch en ongemerkt

De hackers lossen dat op door het geheel te automatiseren. Logt het doelwit in op de nepversie van een site, vult de server van de hackers het wachtoord ook in op de echte versie van de loginpagina. De gebruiker krijgt dan dus toch een sms van bijvoorbeeld Google, met de tweestapscode. Als die wordt ingevoerd, doet de server van de hackers dat ook.

Daarna wordt het slachtoffer doorgestuurd naar de echte loginpagina van bijvoorbeeld Gmail en automatisch ingelogd. Zo heeft het slachtoffer niks in de gaten gehad, en hebben de hackers volledig automatisch toegang gekregen.

'Staatshackers uit Golfstaten'

De aanval is volgens Amnesty in 2017 en 2018 ruim duizend keer uitgevoerd op Gmail- en Yahoo-accounts in het Midden-Oosten en Noord-Afrika, vermoedelijk door hackers uit de Golfstaten.

Onlangs legde RTL Nieuws uit hoe in Nederland de methode sim-swapping wordt gebruikt om 06-nummers te kapen en op die manier toegang tot beschermde accounts te krijgen.

Miniatuurvoorbeeld
Lees ook:

Veilig je wachtwoorden bewaren: dit zijn de beste apps

Miniatuurvoorbeeld
Lees ook

Criminelen sturen tennissers phishingmail via gehackte vereniging