Фішер зламав двофакторну автентифікацію Gmail - ось як він це зробив

Двоетапна перевірка робить ваш обліковий запис Google експоненціально більш захищеним. Але ви все ще непереможні хакерам.

Тут, на groovyPost, ми постійно натискаємоДвоетапна автентифікація як спосіб захистити свої інтернет-акаунти. Я використовую двофакторну аутентифікацію Gmail досить довгий час, і, можу сказати, це робить мене дуже безпечним. Для тих, хто не використовує його, двоетапна автентифікація означає, що ви повинні використовувати свій пароль для входу та ще один унікальний код (зазвичай надсилається за допомогою тексту, телефонного дзвінка або програми, наприклад Google Authenticator). Щоправда, це трохи болить, але мені здається, воно того варте. Я насправді бачив випадки, коли це спричинило зловмисну ​​спробу (тобто я отримав двофакторні тексти на своєму телефоні, коли я не намагався ввійти, це означає, що хтось правильно ввів мій пароль).

Отже, на другий тиждень це мене шокувало, коли я почув даліу відповіді Усі подкасти про те, що хакер успішно піддав фішинг комусь, використовуючи двоетапну перевірку Gmail. Це було в епізоді під назвою «Який вид ідіот отримує фішинг? Це прекрасний епізод, тому я не зіпсую це за вас, сказавши, хто був "ідіот", але я розповім вам деякі хитрощі, якими вони користувалися.

1. Схожі доменні імена

Хакер мав дозвіл від шоу шоувиробники намагаються зламати персонал. Але вони не мали доступу до своїх серверів. Але першим кроком до посилення їхніх цілей було підробка електронної адреси колеги. Дивіться, особа, чию електронну пошту вони підробляли:

phia@gimletmedia.com

Електронна адреса, яку використовував фішер, була така:

phia@gimletrnedia.com

Ви можете сказати різницю? Залежно від шрифту, ви, можливо, не помічали, що слово "media" у доменному імені насправді пишеться r-n-e-d-i-a. Рум’яний і р і нний разом виглядають як м. Домен був законним, тому його не взяв би фільтр спаму.

2. Переконливі додатки та текст тексту

Найскладнішою частиною фішингового електронного листа було саме цеце звучало надзвичайно законно. Здебільшого ви можете помітити тінистий електронний лист з милі за його дивними символами та ламаною англійською мовою. Але цей фішер прикинувся продюсером, який надсилає звукозапису команді на редагування та затвердження. У поєднанні з переконливим доменним іменем це здавалося дуже правдоподібним.

3. Підроблена двоетапна сторінка входу в Gmail

Це було хитро. Отже, одним із надісланих вкладень був PDF у Google Документах. Або так здавалося. Коли жертва натиснула вкладення, це запропонувало їм увійти в Документи Google, як це іноді потрібно робити, навіть коли ви вже ввійшли в Gmail (або так здається).

І ось розумна частина.

Фішер створив підроблену сторінку входу, яка надіслала а справжній Двофакторний запит на аутентифікацію до реального Googleсервер, навіть якщо сторінка входу була повністю підробленою. Отже, потерпілий отримав текстове повідомлення, як звичайне, і тоді, коли буде запропоновано, помістіть його на підроблену сторінку входу. Потім фішер використав цю інформацію, щоб отримати доступ до свого облікового запису Gmail.

Фіш.

Отже, чи означає це порушення двофакторної аутентифікації порушене?

Я не кажу, що двоетапна автентифікація не відповідаєробити свою роботу. Я все ще відчуваю себе більш безпечним і захищеним, якщо ввімкнено 2-фактор, і я буду тримати це таким чином. Але почувши цей епізод, я зрозумів, що я все ще вразливий. Тож вважайте цю казку застереженням. Не будьте впевнені в собі і дотримуйтесь заходів безпеки, щоб захистити себе від немислимого.

О, до речі, геніальний хакер з історії: @DanielBoteanu

Чи використовуєте ви двоетапну автентифікацію? Які інші заходи безпеки ви використовуєте?