Nema sigurnosnog stručnjaka koji korisnike neće savjetovati da se, za što bolju zaštitu svojih računa, koristi dvostupanjska autentifikacija. Umjesto da računu pristupite samo s korisničkim imenom i lozinkom, potreban je još dodatni kod koji stiže na vaš telefon. Taj dodatni sloj zaštite čini se gotovo neprobojnim jer, ako vam netko želi provaliti u račun, mora imati vaše korisničko ime i lozinku, vaš telefon te šifru, tj. PIN za otključavanje vašeg telefona.
Tijekom predavanja o računalnoj sigurnosti i opasnostima phishinga na konferenciji WinDays govorio je Ivo Sluganović, koji nas je uvjerio da naši podaci nisu tako sigurni kao što smo mislili i da hakeri danas imaju alate i znanje s kojima mogu probiti i takvu dvostupanjsku zaštitu. Prilikom toga koriste se phishingom te je, pomoću javno dostupnih alata, potrebno manje od 2 sata da bi hakeri napravili phishersku stranicu koja će zavarati 90 posto korisnika. Na primjeru lažnih stranica LinkedIna i Githuba pokazao je koliko ih je teško razlikovati od pravih stranica jer i takve stranice u adresnoj traci imaju "https".
Osim što ih je jako teško razlikovati od pravih stranica, one su napravljene tako da mogu komunicirati s pravim stranicama u korisničko ime. U praksi to izgleda ovako – kada korisnik dođe na takvu lažnu stranicu, npr. Googlea i u nju upiše svoje podatke, napadaču će predati svoje korisničko ime i lozinku. No ta lažna stranica tada komunicira s pravom stranicom na koju se upisuju podaci te se, korisnicima koji imaju dodatni sloj zaštite, šalje kod za dvostupanjsku autentifkaciju. Oni taj kod, pogađate, ne upisuju na pravu, nego lažnu stranicu koja ga prosljeđuje na legitimnu stranicu, dok korisnici nastavljaju surfati Googleom ili Gmailom ne znajući da su upravo hakerima omogućili pristup njihovim privatnim podacima.
Naravno, isti bi se princip mogao primijeniti i na druge stranice i servise zaštićene potvrdom u dva koraka – npr. financijske servise, PayPal i druge račune i servise.
Sluganović kaže kako postoji rješenje i za takve probleme te je prikazao jedinu OTP aplikaciju namijenjenu pametnim telefonima koja je otporna na phishing – phishAR_2FA. Putem telefona, odnosno aplikacije korisnici skeniraju ekran prilikom prijave u servise te aplikacija daje zeleno svjetlo za prijavu ako je stranica legitimna i skeniranjem nisu pronađeni nikakvi sigurnosni problemi, odnosno crveno ako prepozna da stranica nije sigurna. Taj je alat iznimno jednostavan za integraciju te Sluganović kaže kako već rade s nekim kompanijama koje će ga iskoristiti za povećanje sigurnosti svojih servisa.
