( gee | 2021. 05. 11., k – 14:55 )

Azért az csak feltűnik valakinek, ha a telefonján órák vagy napok óta nincs térerő kijelzés, senki sem keresi, nem tud hívni, nem kap SMS-t, küldeni sem tud.

Természetesen ez nem működik napokon át, de nem is kellenek napok. Ezt célzottan használják.

Olvastam egy esetleírást, amikor valakinek az értékes nevű twitter accountját nyúlták le, és pont így működött, ahogy írod. Pár órán át nem működött a telefonja. Annyi volt a trükk, hogy ez a pár óra pont éjfél és hajnal közé esett. Lefekvéskor látta, hogy valamit hülyéskedik a telefon, reggel meg azt látta, hogy nem tud belépni ide-oda ÉS a telefon nem működik. Addigra már késő volt.

Ugyanígy, ha a bankodból akar valaki utalni, elég neki néhány percre a telefonszámod, nem kell órákon át.

Eleve értelmetlen a 2fa: miért tudná valaki a jelszavam?

Nem feltétlenül a te jelszavadat, mert lehet, hogy te ügyesebben véded, mint a felhasználók nagy része, de a megcélzott embereknél vannak módszerek.

Két megoldást olvastam eddig:

1) Kikerül a jelszó pl. valami adatlopáskor, ugye volt ilyen linkedin-nél, last.fm-nél, és még egy csomó más helyen. Ha valaki ugyanazt a jelszót használja több helyen és nem cserélte le azóta, akkor tudják.

2) Valami módon elérik a jelszó törlését és újrabeállítását. Ezt lehet úgy, hogy pl. hozzáférnek egy email accounthoz, amire jön az elfelejtett jelszó visszaállítás folyamat részeként egy kód, egy link vagy egy új jelszó; vagy van úgy, hogy felhívják az ügyfélszolgálatot, és innen-onnan megszerzett vagy kitalált adatmorzsák segítségével veszik rá, hogy állítson be egy új jelszót és mondja el nekik a telefonon. A leírások szerint az Amazon és az Apple inkább barátságos és nem biztonságos.

A fenti, twitter account ellopós esetben az Apple-t hívták fel, és valami olyan nevetséges ellenőrzés volt, hogy megkérdezték a hitelkártya utolsó 4 számjegyét, ami minden boltban oda van nyomtatva a blokkra, és utána megkérdeztek még kb. 2 számjegyet, amit az ember gyakorlatilag találgatással kitalált (és az ügyfélszolga hagyta találgatni).

Valahogy úgy volt, hogy a twitter a gmail-hez volt kötve, a gmail az apple-höz, szóval az apple felnyomása után hozzáfértek a gmail-hez, azzal meg sikerült a twitter jelszót újraállítani. (Emlékezetből írom, lehet, hogy egy-két részlet máshogy volt).

Szóval ha a 2FA nem SMS, akkor hiába szerzik meg a telefonszámot, nem érnek vele semmit, és a 2FA miatt hiába szerzik meg a jelszót, nem érnek vele semmit.