Hackers vinden eenvoudige methode om tweetrapsverificatie te omzeilen

Stay tuned, abonneer!

Hackers hebben een nieuwe manier gevonden om tweetrapsverificatie te omzeilen. De hackers zijn erin geslaagd om dit proces te automatiseren en kunnen zo relatief eenvoudig inbreken op accounts van onder meer Google en Yahoo. Beveiligde e-mailaccounts lijken zo niet zo goed beveiligd als gedacht.

Dat stelt althans Amnesty International in een onderzoeksrapport. Daarin schrijft het over een boel verschillende methoden van hackers om gebruiken om in te breken op gebruikersaccounts. Er zouden een aantal campagnes plaatsvinden waarbij de hackers gebruik maken van de technieken en ze zouden zich richten op mensenrechtenorganisaties.

Phishing en nepsites

Bij de eerste van die campagnes richtten de hackers zich volgens Amnesty International op honderden Google- en Yahoo-accounts. Daarbij zouden ze erin zijn geslaagd om met succes tweetrapsverificatie te omzeilen. De aanvallers maakten een valse Gmail-pagina aan, waar mensen die daar naartoe gelokt werden hun accountgegevens moesten invullen. Vervolgens kregen ze de melding dat er een verificatiecode naar hun smartphone verzonden was. Het testtoestel van Amnesty ontving ook daadwerkelijk een sms-bericht mét verificatiecode. Door die code in te voeren op de nepsite, krijgen de hackers toegang tot het volledige account.

Heel ingewikkeld is dit proces van omzeilen van de tweetrapsverificatie niet. Het laat vooral zien hoe groot de impact van phishing is en hoe groot het risico is dat mensen die even niet opletten lopen. Amnesty stelt in zijn rapport dat gebruikers die kwetsbaar zijn voor dit soort campagnes, moeten overwegen over te stappen op geavanceerdere beveiligingstechnieken.

De voorbeelden van Amnesty draaien allemaal om beveiligingscodes die via een sms verzonden worden. Tegelijk denkt het wel dat dezelfde technieken kunnen werken voor authenticatieapps zoals die van Google. Mensen kunnen zich ook hiertegen wapenen, door bijvoorbeeld over te stappen op fysieke apparaten die je identiteit bevestigen. Google heeft die al op de markt gebracht, evenals een aantal derde partijen.