Przebieg ataku

W ostatnich dniach na skrzynkach mailowych komorników sądowych pojawiły się maile zachęcające do zalogowania do portalu komornik.ID. W treści wiadomości użyty był adres:

Na pierwszy rzut oka adres jest prawidłowy. Pochodzi z domeny komornikid.pl (Oficjalne domeny KRK to komornik.pl oraz komornikid.pl). Proszę jednak pamiętać, że to co widzimy w treści wiadomości nie musi być prawdziwym adresem email! Aby sprawdzić prawdziwy adres, na który zostaniemy przekierowani należy najechać myszką na link, nie klikając w niego. W naszej aplikacji pocztowej (Thunderbird) lub przeglądarce pojawi się prawdziwy link.

Aby to przetestować, poniżej „spreparowałem” taki link, na którym mogą Państwo sprawdzić jak to funkcjonuje:

www.najlepsza-aplikacja-komornicza.pl.

Proszę, nie klikając najechać na powyższy link i w lewym dolnym rogu ekranu wyświetli się Państwu nazwa strony, gdzie zostaną Państwo realnie przekierowani. Poniżej przykład:

Atakujący wykorzystali wyżej opisaną właściwość i przekierowywali komorników do domeny

komornik-id[.]pl

Jest to domena nieprawidłowa (myślnik w środku), na której stworzyli stronę udającą portal do logowania do Komornik.ID. Część Komorników wprowadziła dane logowania na fałszywej stronie – dzięki czemu atakujący mógł je przejąć i użyć na właściwej stronie.

Tu należą się duże brawa dla spółki Currenda, która w niecałą dobę od ataku uruchomiła weryfikację dwuetapową podczas logowania do portalu Komornik.ID. Poniżej, więcej informacji na czym polega ta weryfikacja.

Weryfikacja dwuetapowa – czym jest

Po pierwsze – weryfikacji dwuetapowej, mimo jej skomplikowanej nazwy, nie należy się bać. To dodatkowa warstwa zabezpieczenia do Państwa banku, facebooka, konta google, portalu komornik.ID. Na pewno większość z Państwa korzystając ze swojego banku, nie dziwi fakt, że po wpisaniu loginu i hasło są proszeni dodatkowo o kod SMS lub potwierdzenie w aplikacji bankowej. Dzieje się tak od 14.09.2019 roku, gdy dyrektywą EU o nazwie PSD2 zwiększono bezpieczeństwo logowania do bankowości, dodając oprócz standardowego loginu i hasła dodatkową warstwę zabezpieczeń.

Na czym polega wielokrotne (np. dwukrotne) zabezpieczenie? Logując się do portalu (np. mbank, facebook, Komornik.ID), musimy podać dwa z trzech danych:

  • Coś, co wiesz

    „Coś, co wiesz” to składnik który zna większość z Was. Wymaga on od podania przez logującego informacji, które tylko oni powinni znać (np. login i hasło). Może to też być, np. pytanie bezpieczeństwa (Jak miał na imię twój pierwszy kotek?).

  • Coś, co masz

    „Coś, co masz” zakłada, że otrzymasz kod weryfikacyjny, który posłuży do dodatkowego sprawdzenia twojej osoby. Tym „czymś” może być lista kodów jednorazowych, kod z sms-a, kod z emaila, który otrzymasz w momencie wpisania tego „co wiesz”. W sprzedaży są również wyspecjalizowane urządzenia takie jak Yubico. Więcej o kluczach dowiesz się z poniższego filmiku:

  • Coś, czym jesteś

„Coś, czym jesteś” to składnik, który jest najrzadziej wykorzystywany. Ta metoda korzysta z danych biometrycznych takich jak: twój odcisk palca, skan siatkówki lub system rozpoznawania twarzy. Może to też być badania pewnych fizycznych właściwości (np. z jaką prędkością wpisujesz hasło).

Zastosowanie każdego z wyżej wymienionych składników – zwiększa poziom bezpieczeństwa. Weryfikacja dwuetapowa jest niczym więcej niż zastosowaniem dwóch z trzech wyżej wymienionych. Nowa metoda logowania do konta Komornik.ID zakłada, że wpiszesz „Coś co wiesz” (login i hasło) oraz „Coś co masz” (kod z aplikacji w telefonie).

Jak uruchomić weryfikacje dwuetapową?

Uruchomienie weryfikacji dwuetapowej jest często uzależnione od wymagań portalu, z którego korzystasz. W inny sposób będzie to wyglądało na Google (Na końcu artykułu Cyberwojna -jak się bronić – pokazałem jak to zrobić), inaczej na Facebook, a w inny sposób na Komornik.ID. Poniżej pokaże, w jaki sposób uruchomić to na podstawie tego ostatniego.

  1. Jeśli masz (T)elefon z Androidem – wejdź na sklep Google Play. Jeśli masz Iphone – wejdź do Apple Store.
  2. (T) Wyszukaj i zainstaluj aplikację Microsoft Authenticator (sam korzystam z tej aplikacji i ją polecam).
  3. (T) Po uruchomieniu aplikacji możesz być zapytany o chęć pomocy firmie Microsoft w ulepszeniu aplikacji (naciśnij Odrzuć).
  4. (T) Na kolejnym Microsoft zachęca do zalogowania do aplikacji (możesz nacisnąć pomiń).
  5. (T) Przejdziemy do ekranu głównego aplikacji.
  6. Na (K)omputerze zaloguj się na portalu Komornik.ID.
  7. (K) Z lewej strony wybieramy Dostęp/Dane konta.
  8. (K) W danych konta wybieramy opcję Weryfikacja dwuetapowa/Włącz.
  9. (T) Wracamy do aplikacji Microsoft Authenticator – naciskamy plus.
  10. (T) Wybieramy Inne konto (google, facebook, itd.).
  11. (T + K) Zeskanuj kod QR który wyświetli się na stronie Komornik.ID.
  12. (T + K) Następnie w aplikacji na telefonie wejdź w nową pozycję o nazwie KomornikID i na stronie WWW wpisz sześciocyfrowy kod, który wygenerowała aplikacja.
  13. (K) Możesz też dodać swoje urządzenie do zaufanych – dzięki czemu nie będziesz pytany, na tym konkretnym urządzeniu, za każdym razem o podanie hasła z aplikacji
  14. (K) Na końcu włącz logowanie dwuetapowe na portalu OOL. To już ostatni punkt.

Zachęcamy też do zmiany swoich haseł do skrzynek email. Spytajcie swojego informatyka lub firmę Currenda jak to zrobić. Ja nie chcę opisywać tego w tym wpisie – gdyż mogło by to pomóc włamującym w poznaniu wewnętrznych procedur kancelarii. Pamiętaj, że logowanie dwuetapowe podwyższa stopień bezpieczeństwa, jednak nic nie zastąpi myślenia i sprawdzania w co klikasz i gdzie jesteś przekierowany!