Az adathalász feltörte a Gmail két tényezőjének hitelesítését - Íme, hogyan csinálta

A kétlépcsős azonosítás a Google-fiókját exponenciálisan biztonságosabbá teszi. De még mindig nem vagy legyőzhetetlen a hackerekkel.

Itt, a groovyPost szolgáltatásban, folyamatosan tolunkKétlépcsős hitelesítés az online fiókok biztonságos módjaként. Már jó ideje használom a 2-tényezős Gmail-hitelesítést, és el kell mondanom, hogy nagyon biztonságosnak érzem magam. Azok számára, akik nem használják, a kétlépcsős hitelesítés azt jelenti, hogy a bejelentkezéshez a jelszavát és egy másik egyedi kódot kell használni (általában szövegesen, telefonhívással vagy egy olyan alkalmazás segítségével, mint például a Google Authenticator). Igaz, kissé fájdalmas, de megéri, hogy megéri. Valójában láttam olyan eseteket, amikor ez egy hackelési kísérletet kísért (vagyis kaptam 2-tényezős szöveget a telefonomon, amikor nem próbáltam bejelentkezni, azaz valaki helyesen írta be a jelszavam).

Tehát a másik héten megdöbbent, amikor hallottama Válasz minden podcastra, amely szerint a hackerek kétlépcsős Gmail-ellenőrzéssel sikeresen megszerezték valakit. Ez volt a Milyen idióta megkapták az epizódban? Ez egy nagyszerű epizód, ezért nem rontom el neked, mondván, hogy ki volt az „idióta”, de elmondom neked néhány trükköt, amelyet használtak.

1. Nézz egyaránt a domain nevekre

A hacker engedélyt kapott a show-k számáraa termelők, hogy megpróbálják feltörni a személyzetet. De szervereikhez nem volt bennfentes hozzáférés. De a célok kitalálásának első lépése a munkatárs e-mail címének hamisítása volt. Lásd, az a személy, akinek az e-mailjét csalta:

phia@gimletmedia.com

Az adatkezelő által használt e-mail cím a következő volt:

phia@gimletrnedia.com

Meg tudod mondani a különbséget? A betűtípustól függően előfordulhat, hogy nem veszi észre, hogy a domain névben a „media” szó ténylegesen r-n-e-d-i-a. Az r és n összetévesztve úgy néz ki, mint egy m. A domain legitim volt, tehát nem lett volna képes letölteni egy spamszűrővel.

2. Meggyőző mellékletek és a szöveg

Az adathalász e-mail legfontosabb része ez voltrendkívül legitimnek hangzott. A legtöbb alkalommal árnyékos e-mailt észlelhet mérföldnyire furcsa karaktereivel és törött angoljával. De ez az adathalász úgy tett, mintha producer lenne, aki darab hangot küld egy csapatnak szerkesztés és jóváhagyás céljából. A meggyőző domain névvel együtt nagyon hihetőnek tűnt.

3. Hamis kétlépcsős Gmail bejelentkezési oldal

Ez volt a trükkös. Tehát az egyik elküldött melléklet egy PDF volt a Google Dokumentumokban. Vagy úgy tűnt. Amikor az áldozat rákattintott a mellékletre, arra kérte őket, hogy jelentkezzenek be a Google Dokumentumokba, ahogyan ezt néha meg kell tennie, még akkor is, ha már be van jelentkezve a Gmailbe (vagy úgy tűnik).

És itt van az okos rész.

Az adathalász létrehozott egy hamis bejelentkezési oldalt, amely a igazi 2-tényezős hitelesítési igény a Google real számáraannak ellenére, hogy a bejelentkezési oldal teljesen hamis volt. Tehát az áldozat a normálhoz hasonló szöveges üzenetet kapott, majd amikor erre kérte, tegye be a hamis bejelentkezési oldalra. A adathalász ezt követően felhasználta ezt az információt, hogy hozzáférést kapjon Gmail-fiókjukhoz.

Phished.

Tehát, ez azt jelenti, hogy a 2-tényezős hitelesítés megszakadt?

Nem azt mondom, hogy a kétlépcsős hitelesítés nemvégezze el a munkáját. Még mindig biztonságosabbnak érzem magam, ha a 2-tényező engedélyezve van, és így fogom megtartani. De ezt az epizódot hallva ráébredtem, hogy még mindig sebezhető vagyok. Tehát tartsd ezt figyelmeztető mesenek. Ne váljon túl magabiztosan, és vegye figyelembe a biztonsági intézkedéseket, hogy megvédje magát az elképzelhetetlenktől.

Ó, egyébként, a történet zseniális hackere: @DanielBoteanu

Használ kétlépcsős hitelesítést? Milyen egyéb biztonsági intézkedéseket alkalmaz?

0

Hasonló cikkek

TG 09: A TSA kivágott
Techgroove

TG 09: A TSA kivágott.

Két faktor hitelesítés engedélyezése Zapier-fiókjában
Hogyan kell

Két faktoros hitelesítés engedélyezése a ..

A Facebook-fiók helyreállítása, ha csapkodott
Hogyan kell

A Facebook-fiók helyreállítása, ha ..

Két faktor hitelesítés engedélyezése a Trello számlán
Hogyan kell

Két faktor hitelesítés engedélyezése a Trello készüléken

Hogyan lehet engedélyezni a Microsoft kétfajta hitelesítését
Hogyan kell

A Microsoft két tényező hitelesítésének engedélyezése

Hogyan engedélyezze a kétfaktoros hitelesítést az Instagramon és miért kellene ma!
Hogyan kell

A kétfaktoros hitelesítés engedélyezése az Instagramon

Az egygombos kéttényezős hitelesítés engedélyezése a Google Fiókján
Hogyan kell

Az egygombos kéttényezős hitelesítés engedélyezése ..

Kétfaktoros hitelesítés hozzáadása a Slack-fiókhoz
Hogyan kell

Kétfaktoros hitelesítés hozzáadása a laza helyzethez

Két tényező engedélyezése a DreamHost tárhelyfiókokon
Hogyan kell

Két tényező engedélyezése a DreamHost tárhelyen.

Google Két faktor hitelesítés - Hozzon létre alkalmazás-specifikus egyszeri jelszavakat
Hogyan kell

Google Két faktor hitelesítés - Hozz létre ..

Szólj hozzá