Phisher prolomil dvoufaktorové ověření Gmailu - takto:

Díky dvoufázovému ověření je váš účet Google exponenciálně bezpečnější. Stále však nejste hackerům neporazitelní.

Zde na groovyPost neustále tlačímeOvěřování ve dvou krocích jako způsob zabezpečení vašich online účtů. Používám dvoufaktorové ověřování v Gmailu už nějakou dobu a musím říct, že se cítím velmi bezpečně. Pro ty, kteří jej nepoužívají, dvoufázové ověření znamená, že k přihlášení musíte použít své heslo a jeden další jedinečný kód (obvykle odeslaný prostřednictvím textu, telefonního hovoru nebo aplikace, jako je Google Authenticator). Je pravda, že je to trochu bolest, ale připadá mi to za to. Ve skutečnosti jsem viděl případy, kdy je to pokus o hackerství (tj. V telefonu jsem dostal dvoufaktorové texty, když jsem se nepokoušel přihlásit, což znamená, že někdo správně zadal heslo).

Takže druhý týden mě šokovalo, když jsem to slyšelpodcast Odpovědět všem, který hacker úspěšně neoprávněně neoprávněně phishingoval pomocí dvoufázového ověření Gmailem. Toto bylo v epizodě s názvem What Kind of Idiot Gets Phishing? Je to skvělá epizoda, takže vám to nezkazím tím, že řeknu, kdo byl „idiot“, ale řeknu vám některé triky, které použili.

1. Vypadejte stejně jako doménová jména

Hacker měl povolení ze showvýrobci, kteří se snaží hacknout zaměstnance. Neměli však žádný zasvěcený přístup k jejich serverům. Prvním krokem k pwning jejich cílů bylo spoofing e-mailovou adresu spolupracovníka. Podívejte se, osoba, jejíž e-mailem spoofed, byla:

phia@gimletmedia.com

E-mailová adresa, kterou phisher použil, byla tato:

phia@gimletrnedia.com

Můžete rozeznat rozdíl? V závislosti na písmu jste si možná nevšimli, že slovo „media“ v názvu domény je ve skutečnosti hláskováno r-n-e-d-i-a. R a n se rozbít společně vypadají jako m. Doména byla legitimní, takže ji nezískal spamový filtr.

2. Přesvědčivé přílohy a text těla

Nejtěžší částí phishingového e-mailu bylo totoznělo to velmi legitimně. Většinu času si můžete všimnout stinného e-mailu z míle daleko podle jeho podivných znaků a rozbité angličtiny. Tento phisher ale předstíral, že je producentem, který posílá kousek zvuku týmu k úpravám a schválení. Ve spojení s přesvědčivým názvem domény to vypadalo velmi uvěřitelně.

3. Falešná dvoufázová přihlašovací stránka pro Gmail

To bylo ošidné. Jedna z odeslaných příloh byla tedy PDF v Dokumentech Google. Nebo to tak vypadalo. Když oběť klikla na přílohu, vyzvala je, aby se přihlásili do Dokumentů Google, jak občas musíte udělat, i když jste již přihlášeni do Gmailu (nebo se to zdá).

A tady je chytrá část.

Phisher vytvořil falešnou přihlašovací stránku, která poslala nemovitý Žádost o dvoufaktorovou autentizaci skutečného Googluserver, i když přihlašovací stránka byla úplně falešná. Oběť tak dostala textovou zprávu stejně jako normálně, a poté, co se zobrazí výzva, vložte ji na falešnou přihlašovací stránku. Phisher pak tyto informace použil k získání přístupu k jejich účtu Gmail.

Phishing.

Znamená to, že je přerušeno dvoufaktorové ověření?

Neříkám, že dvoufázové ověření nenídělat svou práci. Pořád se cítím bezpečněji a bezpečněji s aktivovaným 2-faktorem a budu to tak udržovat. Ale slyšení této epizody mě přimělo uvědomit si, že jsem stále zranitelný. Takže to považujte za varovný příběh. Nenechte se sebevědomí a nepřekonejte bezpečnostní opatření, abyste se ochránili před nepředstavitelným.

Mimochodem, geniální hacker z příběhu je: @ Danielieloteanu

Používáte dvoufázové ověření? Jaká další bezpečnostní opatření používáte?