Phisher zhakował dwuskładnikowe uwierzytelnianie Gmaila - oto jak to zrobił
Weryfikacja dwuetapowa sprawia, że Twoje konto Google jest wykładniczo bardziej bezpieczne. Ale nadal nie jesteś niezwyciężony dla hakerów.
Tutaj w groovyPost nieustannie pchamyUwierzytelnianie dwuetapowe jako sposób zabezpieczenia kont internetowych. Od dłuższego czasu używam uwierzytelniania Gmaila 2-czynnikowego i muszę powiedzieć, że dzięki temu czuję się bardzo bezpiecznie. Dla tych, którzy go nie używają, uwierzytelnianie dwuetapowe oznacza, że musisz zalogować się za pomocą hasła i jednego innego unikalnego kodu (zwykle wysyłanego SMS-em, połączenia telefonicznego lub aplikacji takiej jak Google Authenticator). To prawda, to trochę boli, ale wydaje mi się, że warto. Rzeczywiście widziałem przypadki, w których utrudniała próbę włamania (to znaczy, że otrzymałem 2-czynnikowe SMS-y na telefonie, gdy nie próbowałem się zalogować, co oznacza, że ktoś poprawnie wprowadził moje hasło).
Tak więc w zeszłym tygodniu zaszokowało mnie, gdy usłyszałem dalejthe Odpowiedz Wszystkie podcast, że haker pomyślnie wyłudził kogoś za pomocą 2-etapowej weryfikacji Gmaila. To było w odcinku zatytułowanym What Kind of Idiot Gets Phishing? To świetny odcinek, więc nie zepsuję go, mówiąc, kim był „idiota”, ale powiem ci kilka sztuczek, których użyli.
Haker miał pozwolenie od programuproducenci próbują zhakować personel. Ale nie mieli dostępu poufnych do swoich serwerów. Ale pierwszym krokiem do ustalenia swoich celów było sfałszowanie adresu e-mail współpracownika. Widzisz, osoba, której e-maila sfałszowali to:
phia@gimletmedia.com
Adres e-mail użyty przez phishera był następujący:
phia@gimletrnedia.com
Czy dostrzegasz różnicę? W zależności od czcionki, być może nie zauważyłeś, że słowo „media” w nazwie domeny jest tak naprawdę napisane r-n-e-d-i-a. R i n zmiażdżone razem wyglądają jak m. Domena była legalna, więc nie zostałaby wykryta przez filtr antyspamowy.
2. Przekonujące załączniki i treść
To była najtrudniejsza część wiadomości phishingowejbrzmiało to wyjątkowo legalnie. Przez większość czasu możesz dostrzec podejrzany e-mail z odległości mili od jego dziwnych postaci i zepsutego angielskiego. Ale ten phisher udawał, że jest producentem wysyłającym kawałek audio do zespołu w celu edycji i zatwierdzenia. W połączeniu z przekonującą nazwą domeny wydawało się to bardzo wiarygodne.
3. Fałszywa 2-etapowa strona logowania Gmaila
To było trudne. Tak więc jednym z przesłanych załączników był plik PDF w Dokumentach Google. A przynajmniej tak się wydawało. Gdy ofiara kliknęła załącznik, zachęciła ją do zalogowania się w Dokumentach Google, co czasami trzeba zrobić nawet wtedy, gdy jesteś już zalogowany do Gmaila (a przynajmniej tak się wydaje).
A oto sprytna część.
Phisher stworzył fałszywą stronę logowania, która wysłała real Żądanie uwierzytelnienia 2-czynnikowego do Googleserwer, mimo że strona logowania była całkowicie fałszywa. Ofiara otrzymała wiadomość tekstową tak jak zwykle, a następnie po wyświetleniu monitu umieść ją na fałszywej stronie logowania. Następnie phisher wykorzystał te informacje, aby uzyskać dostęp do swojego konta Gmail.
Phishing
Czy to oznacza, że uwierzytelnianie dwuskładnikowe jest zepsute?
Nie twierdzę, że uwierzytelnianie dwuetapowe niewykonać swoją pracę. Nadal czuję się bezpieczniejsza dzięki włączonemu 2-czynnikowi i zamierzam tak pozostać. Ale usłyszenie tego odcinka uświadomiło mi, że wciąż jestem wrażliwy. Uważaj to za przestrogę. Nie bądź zbyt pewny siebie i nałóż środki bezpieczeństwa, aby uchronić się przed niewyobrażalnym.
A tak przy okazji, genialny haker z tej historii to: @DanielBoteanu
Czy korzystasz z uwierzytelniania dwuetapowego? Z jakich innych środków bezpieczeństwa korzystasz?
zostaw komentarz