Stručnější už to prostě být nemůže. V krátkosti je síla!
Nový způsob hacknutí WhatsApp účtu je vlastně docela bizarní. Zabránit mu klasicky může nastavení dvoufaktorového ověření. Začíná tím, že se útočníkovi podaří hacknout účet a ten využije ke konverzi všech kontaktů na Whatsapp Business account. Kontaktům přijde SMS s kódem od WhatsApp, kterou útočník zkusí získat zprávou s omluvou. Pokud číslo předáte, útočník ukradne váš účet.
Hledal v nich porno. Mimo to zaplatí 5 000 USD pokutu a 118 456 dolarů odškodnění Yahoo. Nepravosti páchal skoro deset let. K účtům se dostal získáním hashů hesel, která poté rozlouskával. Cílem byly mladé ženy, včetně přátel kolegů. Hacknuté účty navíc použil pro přístup k dalším službám kde uživatel použil e-mail od Yahoo. Ve sbírce měl mít až 4 000 fotek a videí. Viz Yahoo engineer gets no jail time after hacking 6,000 accounts to look for porn
TIP: Poučení? Mimo to, že porno zcela určitě nepatří do vašeho e-mailového účtu tak to nejzásadnější je, že první věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
Google Authenticator 5.0 nově umožní přesouvat účty mezi zařízeními. Tedy něco co bylo dost dobrý důvodem proč používat (například) Authy a Google Authenticator vynechat. Via Google Authenticator gets its first update in years, finally lets you transfer accounts between devices
TIP: Dvoufaktorové ověření použijte všude tam, kde chcete lépe zabezpečit účet
Většina z prodávaných přihlašovacích údajů jsou uživatelé, kteří pro Zoom použili nějaké heslo, které používají již někde jinde a nachází se v záplavě úniků z minulosti (viz Recycling Credentials in Four Easy Steps). Via Market for stolen Zoom credentials is booming a tradičně platí, že používat stejné heslo všude je špatně. A také nezapomeňte, Zoom je další z účtů, které je vhodné si chránit dvoufaktorovým ověřením.
TIP: Jak bezpečně používat Zoom. Jak v Zoomu lépe nastavit soukromí.
Pokud tomu tedy stále nerozumíte, tak prosté přihlašování pomocí e-mailu a hesla není něco, co byste měli používat. Váš e-mail je zpravidla cesta k řadě dalších účtů – útočník si prostě na hacknutý e-mail pošle reset hesel v jakékoliv ze služeb. Viz More than 99% of compromised Microsoft accounts did not use Multi-Factor Authentication
TIP: První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
Jde o novou verzi trojanu Cerberus a dokáže tak obejít dvoufaktorové ověření pro přihlášení k účtům. Cerberus je přitom známý a dlouho využívaný bankovní trojan. Viz Android malware can steal Google Authenticator 2FA codes
Twitter konečně umožňuje aktivovat dvoufaktorové ověření bez nutnosti použít telefonní číslo. Nově můžete prostě klasicky použít některou z aplikací pro dvoufaktorové kódy (třeba Authy) a není již potřeba dostat prvotní kód přes SMS.
TIP: Hodit se určitě bude 15 kroků, jak nastavit soukromí na Twitteru, Dvoufaktorové ověření použijte všude tam, kde chcete lépe zabezpečit účet a První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
Íránští hackeři (Phosphorus) útočí na účty lidí spojených s prezidentskými volbami v USA pro rok 2020. Z 241 e-mailových účtů se jim podařilo kompromitovat čtyři. Vše prostřednictvím resetu heslo nebo cest jak obnovit přístup k účtu s pomocí druhého účtu, který si uživatel nastavil pro případ ztráty přístupu. Detaily v Recent cyberattacks require us all to be vigilant kde Microsoft velmi správně zdůrazňuje zásadní nutnost používat dvoufaktorové ověření pro všechny e-mailové účty, které je možné k něčemu zneužít.
Bývalý zaměstnanec Yahoo hacknul 6000 účtů. Hledal na nich intimní obrázky a dělal to s využitím všeho, co měl jako zaměstnanec Yahoo k dispozici. Původní mířil pouze na přátelé a známé, ale nakonec to vedlo ke kompromitaci zhruba šesti tisíc účtů na Yahoo. S pomocí tam získaných informací pak pokračoval i na účty u Gmailu, iCloudu či Dropboxu. To, že se u Yahoo dostal k heslům účtů nemůže ani překvapit, Yaho v říjnu 2017 přiznali hack a únik hesel 3 miliard účtů z roku 2013. Viz Ex-Yahoo employee hacked 6,000 accounts for sexual images
TIP: První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
Šéf Twitteru, Jack Dorsey, opět přišel o účet. Hackeři se na něm vyřádili záplavou nenávistných tweetů. Velmi pravděpodobně (jak uvádí na Twitteru například Brian Krebs) k tomu došlo přes „SIM swapping„, útočníkům se podařilo získat SIM s telefonním číslem, které Dorsey používal pro dvoufaktorové ověření. Novou SIM se stejným číslem museli útočník/útočníci získat u některého z operátorů. S novou SIM pak bylo možné získat kód pro dvoufaktorové ověření nového přihlášení.
