Kimlik Avı Gmail’in İki Faktörlü Kimlik Doğrulamasını Kesti - İşte Nasıl Yaptı

2 adımlı doğrulama, Google hesabınızı katlanarak daha güvenli hale getirir. Ama hala bilgisayar korsanlarına yenilmez değilsin.

Burada groovyPost'ta, sürekli olarakÇevrimiçi hesaplarınızı korumanın bir yolu olarak 2 adımlı kimlik doğrulaması. Uzun süredir 2 faktörlü Gmail kimlik doğrulamasını kullanıyorum ve şunu söylemeliyim ki bu beni çok güvende hissettiriyor. Kullanmayanlar için 2 adımlı kimlik doğrulaması, giriş yapmak için şifrenizi ve başka bir benzersiz kodu (genellikle metin, telefon görüşmesi veya Google Şifrematik gibi bir uygulama yoluyla gönderilir) kullanmanız gerektiği anlamına gelir. Doğru, biraz acı var, ama bana değer. Aslında bir bilgisayar korsanlığı girişimi uyandırdığı durumlar gördüm (yani, giriş yapmaya çalışmadığım sırada telefonumda 2 faktörlü metinler var, bu da birisinin şifremi doğru girdiği anlamına geliyor).

Geçen hafta duyduğumda şok oldubir bilgisayar korsanının 2 adımlı Gmail doğrulaması kullanarak birisine başarılı bir şekilde kimlik avı yapmış olduğu Tümünü Yanıtla podcast'i. Bu ne tür bir aptal kimlik avı yapar? Harika bir bölüm, bu yüzden “aptal” ın kim olduğunu söyleyerek senin için şımartmayacağım, ama kullandıkları hilelerden bazılarını anlatacağım.

1. Benzer alan adlarına bakın

Bilgisayar korsanı şovdan izin aldıüreticileri personeli kesmek için denemek. Ancak sunucularına içeriden erişimi yoktu. Ancak hedeflerini açmanın ilk adımı bir iş arkadaşınızın e-posta adresini taklit etmekti. E-postalarını taklit ettikleri kişi:

phia@gimletmedia.com

Kimlik avının kullandığı e-posta adresi şuydu:

phia@gimletrnedia.com

Farkı söyleyebilir misin? Yazı tipine bağlı olarak, alan adındaki “medya” sözcüğünün aslında r-n-e-d-i-a yazıldığını fark etmemiş olabilirsiniz. Birlikte r ve n bir m gibi görünür. Alan yasaldır, bu nedenle bir spam filtresi tarafından alınmazdı.

2. İkna Eden Ekler ve Gövde Metni

Kimlik avı e-postasının en zor yanı,kulağa oldukça yasal geliyordu. Çoğu zaman, garip karakterleri ve kırık İngilizcesi ile bir mil uzakta gölgeli bir e-posta tespit edebilirsiniz. Ancak bu kimlik avı, düzenleme ve onay için bir ekibe ses gönderen bir yapımcı gibi davrandı. İkna edici alan adıyla birleşince çok inandırıcı görünüyordu.

3. Sahte 2 Adımlı Gmail Giriş Sayfası

Zor olan buydu. Bu nedenle, gönderilen eklerden biri Google Dokümanlar'daki bir PDF idi. Ya da öyle görünüyordu. Mağdur eki tıkladığında, Google'a zaten giriş yapmış olsanız bile (veya öyle görünüyorsa) yapmak zorunda olduğunuz için Google Dokümanlar'a giriş yapmalarını istedi.

Ve işte akıllı kısım.

Kimlik avı sahte bir giriş sayfası oluşturdu. gerçek Google’ın gerçek hesabına 2 faktörlü kimlik doğrulama isteğigiriş sayfası tamamen sahte olmasına rağmen. Böylece, kurban normal gibi bir kısa mesaj aldı ve istendiğinde sahte giriş sayfasına koyun. Kimlik avı daha sonra bu bilgileri Gmail hesaplarına erişmek için kullandı.

Phished.

Peki, bu 2 faktörlü kimlik doğrulamanın bozulduğu anlamına mı geliyor?

2 adımlı kimlik doğrulamasınınişini yapmak. 2 faktörlü etkinken hala daha güvende ve daha güvende hissediyorum ve bu şekilde devam edeceğim. Ama bu bölümü duymak hala savunmasız olduğumu fark etmemi sağladı. Bu yüzden, bunu uyarıcı bir hikaye olarak düşünün. Kendine fazla güvenmeyin ve kendinizi hayal edilemezlerden korumak için güvenlik önlemlerini katmanlayın.

Oh, bu arada, hikayeden dahi hacker: @DanielBoteanu

2 adımlı kimlik doğrulaması kullanıyor musunuz? Başka hangi güvenlik önlemlerini kullanıyorsunuz?

0

Benzer makaleler

TG 09: TSA Beni Kesti
Techgroove

TG 09: TSA Beni Kesti ..

Zapier Hesabınız İçin İki Faktör Kimlik Doğrulaması Nasıl Etkinleştirilir
Nasıl

Sizin İçin İki Faktör Kimlik Doğrulaması Nasıl Etkinleştirilir ..

Hacklendiyseniz Facebook Hesabınızı Nasıl Kurtarırsınız?
Nasıl

Facebook Hesabınızı Nasıl Kurtarırsanız ..

Trello Hesabınızda İki Faktör Kimlik Doğrulaması Nasıl Etkinleştirilir
Nasıl

Trello'nuzda İki Faktör Kimlik Doğrulaması Nasıl Etkinleştirilir ..

Microsoft İki Faktör Kimlik Doğrulaması Nasıl Etkinleştirilir
Nasıl

Microsoft İki Faktör Kimlik Doğrulaması Nasıl Etkinleştirilir ..

Instagram'da İki Faktörlü Kimlik Doğrulamanın Etkinleştirilmesi ve Bugün Neden Yapmanız Gerekir!
Nasıl

Instagram'da İki Faktörlü Kimlik Doğrulamayı Nasıl Etkinleştirebilirsiniz ..

Google Hesabınızdaki Tek Dokunuşla İki Faktörlü Kimlik Doğrulamayı Nasıl Etkinleştirebilirsiniz
Nasıl

Tek Dokunuşla İki Faktörlü Kimlik Doğrulamayı Nasıl Etkinleştirirsiniz

Slack Hesabınıza İki Faktörlü Kimlik Doğrulama Nasıl Eklenir
Nasıl

Kalbinize İki Faktörlü Kimlik Doğrulama Nasıl Eklenir ..

DreamHost Hosting Hesaplarında İki Faktör Yetkilendirme Nasıl Etkinleştirilir
Nasıl

DreamHost Hosting'de İki Faktör Yetkilendirme Nasıl Etkinleştirilir ..

Google İki Faktörlü Kimlik Doğrulama - Uygulamaya Özel One-Off Şifreleri Oluşturma
Nasıl

Google İki Faktör Kimlik Doğrulaması - Oluştur ..

yorum Yap