TIP#2708: Dorazil vám na telefon kód pro dvoufaktor a nežádali jste o něj? Co s tím?

Pokud stále používáte dvoufaktorové ověření přes SMS, tak se lehce může stát, že se vám na telefonu objeví zpráva s dvoufaktorovým kódem aniž byste o to požádali, aniž byste se přihlašovali.  Jak na to máte reagovat?

Především by bylo vhodné přestat používat SMS pro dvoufaktor a přejít na ověřovací aplikace. SMS nejsou bezpečné (SIM swapping zmiňované v tomto tipu) a hodí se opravdu jenom tam kde jiná možnosti není. A rozhodně je to nesrovnatelně mnohem bezpečnější, než pouhé používání jména/e-mailu a hesla.

Pokud se vám na telefonu objeví něco jako Your Linkedin verification code is 99999, tak to nemusí znamenat vůbec nic. Ale také to může znamenat, že někdo má přihlašovací údaje k vašemu účtu v službě (zde do Linkedin) – protože 2FA kód by se měl odeslat až poté, co někdo vyplní jméno/e-mail a k tomu správné heslo. 

Protože ale máte dvoufaktor a získaný kód nikomu nedáte (velmi důležité, takovéto zprávy nikdy nikomu nepředávejte, nepřeposílejte, neříkejte co v ní je), tak se na váš účet nedostane. Dvoufaktorové kódy navíc platí jenom poměrně krátkou dobu, takže by ho po vás musel někdo chtít právě v době, kdy vám dorazil na telefon.

Na tuhle situaci každopádně můžete reagovat změnou hesla – na nové silné unikátní heslo, ideálně vygenerované správcem hesel. A co je důležité, jděte to heslo nastavit přímo na danou službu (tedy například na Linkedin) na webu nebo v mobilní aplikaci. Může totiž dojít k tomu, že útočník zkusí phishing a pošle vám vzápětí zprávu či e-mail s “změňte si heslo” doplněné o odkaz na podvodný web, tak aby vás nakonec připravil o účet.

Nezapomeňte, pokud heslo v této službě bylo recyklované, tedy pokud ho používáte i někde jinde, tak je nutné změnit heslo i na všech dalších místě. A rozhodně nerecyklovat.

Můžete zajít i na Have I Been Pwned a zkontrolovat váš e-mail (e-maily) na přítomnost v únicích a tím pádem v kompromitovaných heslech. Pomůže vám v tom i správce hesel od Google i Apple, přímo v telefonu.

Je nicméně stále možné, že je to prostě náhoda či omyl. Někdo mohl někde vyplnit vaše telefonní číslo (stejně jako může někde vyplnit váš e-mail) – v takovém případě ale často půjde o 2FA kód z webu kde nemáte účet. Případně půjde o situaci kdy 2FA tohoto typu přijde jenom jednou. V takovém případě můžete vše nechat být a nic nepodnikat. 

Předchozí odstavec se navíc může velmi snadno týkat služeb (aplikací/webů) kde nejsou hesla, ale přihlášení se děje pouze zasláním kódu na e-mail či telefon. Právě tam stačí chybně zadat kam poslat a stanete se příjemce cizího kódu. 

Nehledě na to, že může jít i o chybu software, které poslalo SMS někam kam nemělo.

Tipy týkající se Bezpečného Internetu

Bezpečnost Dvoufaktorové ověření Hesla Heslo