Pokud stále používáte dvoufaktorové ověření přes SMS, tak se lehce může stát, že se vám na telefonu objeví zpráva s dvoufaktorovým kódem aniž byste o to požádali, aniž byste se přihlašovali. Jak na to máte reagovat?
Především by bylo vhodné přestat používat SMS pro dvoufaktor a přejít na ověřovací aplikace. SMS nejsou bezpečné (SIM swapping zmiňované v tomto tipu) a hodí se opravdu jenom tam kde jiná možnosti není. A rozhodně je to nesrovnatelně mnohem bezpečnější, než pouhé používání jména/e-mailu a hesla.
Pokud se vám na telefonu objeví něco jako Your Linkedin verification code is 99999, tak to nemusí znamenat vůbec nic. Ale také to může znamenat, že někdo má přihlašovací údaje k vašemu účtu v službě (zde do Linkedin) – protože 2FA kód by se měl odeslat až poté, co někdo vyplní jméno/e-mail a k tomu správné heslo.
Protože ale máte dvoufaktor a získaný kód nikomu nedáte (velmi důležité, takovéto zprávy nikdy nikomu nepředávejte, nepřeposílejte, neříkejte co v ní je), tak se na váš účet nedostane. Dvoufaktorové kódy navíc platí jenom poměrně krátkou dobu, takže by ho po vás musel někdo chtít právě v době, kdy vám dorazil na telefon.
Na tuhle situaci každopádně můžete reagovat změnou hesla – na nové silné unikátní heslo, ideálně vygenerované správcem hesel. A co je důležité, jděte to heslo nastavit přímo na danou službu (tedy například na Linkedin) na webu nebo v mobilní aplikaci. Může totiž dojít k tomu, že útočník zkusí phishing a pošle vám vzápětí zprávu či e-mail s “změňte si heslo” doplněné o odkaz na podvodný web, tak aby vás nakonec připravil o účet.
Nezapomeňte, pokud heslo v této službě bylo recyklované, tedy pokud ho používáte i někde jinde, tak je nutné změnit heslo i na všech dalších místě. A rozhodně nerecyklovat.
Můžete zajít i na Have I Been Pwned a zkontrolovat váš e-mail (e-maily) na přítomnost v únicích a tím pádem v kompromitovaných heslech. Pomůže vám v tom i správce hesel od Google i Apple, přímo v telefonu.
Je nicméně stále možné, že je to prostě náhoda či omyl. Někdo mohl někde vyplnit vaše telefonní číslo (stejně jako může někde vyplnit váš e-mail) – v takovém případě ale často půjde o 2FA kód z webu kde nemáte účet. Případně půjde o situaci kdy 2FA tohoto typu přijde jenom jednou. V takovém případě můžete vše nechat být a nic nepodnikat.
Předchozí odstavec se navíc může velmi snadno týkat služeb (aplikací/webů) kde nejsou hesla, ale přihlášení se děje pouze zasláním kódu na e-mail či telefon. Právě tam stačí chybně zadat kam poslat a stanete se příjemce cizího kódu.
Nehledě na to, že může jít i o chybu software, které poslalo SMS někam kam nemělo.
Tipy týkající se Bezpečného Internetu
-
TIP#993: Jak se bezpečně chovat na seznamce Tinder
Tinder je mobilní seznamovací aplikace. Jedna z desítek, ale také jedna z těch více rozšířených a známých. Jako každá online seznamka (a online aplikace) přináší zásadní rizika v řadě aspektů – od…
-
TIP#794: Jak zabezpečit domácí Wi-Fi proti nezvaným hostům
Čas se postupně podívat na další podstatné tipy, týkající se WiFi. Trochu tomu pomůže to, že mám půjčený D-Link DIR-879, což je dvoupásmový Wi-Fi Router vypadají poněkud jako UFO. Takže mohu zkoušet…
