חברת האבטחה סימנטק (Symantec) מזהירה בפני מתקפה פשוטה באמצעות SMS שיכולה לדלות את פרטי הכניסה של קורבנות תמימים באמצעות מענה להודעה. התוקף מנצל למעשה את הקישור בין חשבון המייל למספר הטלפון של הקורבן המקושר, ומבקש ממנו להחזיר בהודעה את קוד האימות במקרה של אובדן סיסמה.

השיטה פועלת בצורה מתוחכמת למדי, כך שגם משתמשים מנוסים עלולים ליפול בפח: התוקף, שהצליח להשיג את פרטי חשבון המייל ומספר הטלפון של הקורבן הפונטציאלי מוקדם יותר, מבקש לשחזר את הסיסמא באמצעות קוד אימות בהודעת SMS שנשלח מספקית המייל למכשיר הטלפון של הקורבן במקרה וזה שכח או איבד את סיסמתו. מיד לאחר מכן, שולח התוקף הודעה מהמכשיר האישי שלו תוך כדי שינוי מספרו לשמה של ספקית המייל (לדוגמא: Google או Yahoo) למספר הטלפון של הקורבן, תוך כדי בקשת קוד האימות שזה עתה נשלח אליו. בהנחה כי המשתמש ענה ל-SMS עם קוד האימות, יוכל כעת התוקף לשנות את סיסמתו של הקורבן גם ללא ידיעתו ולגשת לפרטיו האישיים.

על מנת לא ליפול בפח, חשוב לזכור שספקית המייל מעולם לא תבקש מהמשתמש לענות להודעה שהיא בעצמה שלחה. יתר על כן, באם קיבלתם הודעה שכזו מבלי שביקשתם לשחזר סיסמא או בעת הכניסה לחשבון, מומלץ לשנות במיידית את סיסמתכם, שכן במידה ויצליח, התוקף יוכל גם להיכנס לשרותים אחרים של המשתמש. בנוסף, אנו ממליצים להפעיל את מנגנון האימות הדו שלבי אותו מספקות רוב הספקיות.

שתף:
-פרסומת-
כתב טכנולוגי ותיק, הדרומי שבחבורה (תלוי מאיזה כיוון), עובד ביום וחיית טכנולוגיה בלילה. את חיבתו לחברת אפל קשה לתמצת בכמה מילים, עם זאת, אם נגיד שהוא מחזיק בביתו 'אפל סטור' מקומי - לא נשקר.
  • matan mashraki

    תעברו לLastPass ותעשו לכל אתר סיסמה שונה.