Фишер взломал двухфакторную аутентификацию Gmail — вот как он это сделал

Здесь, в GroovyPost, мы постоянно продвигаем двухэтапную аутентификацию как способ защиты ваших онлайн-аккаунтов. Я уже довольно давно использую двухфакторную аутентификацию Gmail, и должен сказать, что это дает мне чувство безопасности. Для тех, кто его не использует, двухэтапная аутентификация означает, что вы должны использовать свой пароль для входа в систему и еще один уникальный код (обычно отправляемый с помощью текстового сообщения, телефонного звонка или приложения, такого как Google Authenticator). Да, это немного неприятно, но мне кажется, что оно того стоит. Я действительно видел случаи, когда это блокировало попытку взлома (то есть я получал двухфакторные текстовые сообщения на моем телефоне, когда я не пытался войти в систему, что означает, что кто-то правильно ввел мой пароль).

Итак, на прошлой неделе я был шокирован, когда в подкасте «Ответить всем» я услышал, что хакер успешно совершил фишинг с помощью двухэтапного Gmail. проверка. Это было в эпизоде ​​«Какой идиот получает фишинг?» Это отличный эпизод, поэтому я не буду портить его, рассказывая, кто был «идиот», но я расскажу вам некоторые уловки, которые они использовали.

1. Похожи доменные имена

Хакер получил разрешение от продюсеров шоу на попытку взломать персонал. Но у них не было инсайдерского доступа к своим серверам. Но первым шагом к преследованию их целей была подмена адреса электронной почты коллеги. Видите ли, человек, чью электронную почту они подделали, был:

phia@gimletmedia.com

Адрес электронной почты, который использовал фишер, был следующим:

phia@gimletrnedia.com

Вы можете отличить? В зависимости от шрифта вы, возможно, не заметили, что слово «media» в доменном имени на самом деле пишется как r-n-e-d-i-a. Буквы r и n, сдвинутые вместе, выглядят как m. Домен был легитимным, поэтому он не попал под фильтр спама.

2. Убедительные вложения и основной текст

Самая сложная часть фишингового письма заключалась в том, что оно выглядело чрезвычайно законным. В большинстве случаев вы можете обнаружить сомнительное письмо за милю по его странным символам и ломаному английскому языку. Но этот фишер притворился продюсером, отправившим часть аудиозаписи команде для редактирования и утверждения. В сочетании с убедительным доменным именем это казалось очень правдоподобным.

3. Поддельная двухэтапная страница входа в Gmail

Это было непросто. Итак, одним из присланных вложений был PDF-файл в Google Docs. По крайней мере, так казалось. Когда жертва щелкала вложение, она предлагала ей войти в Google Docs, что иногда приходится делать, даже если вы уже вошли в Gmail (или так кажется).

И вот умная часть.

Фишер создал фальшивую страницу входа, которая отправила реальный запрос двухфакторной аутентификации на настоящий сервер Google, даже если страница входа была полностью фальшивой . Итак, жертва получила текстовое сообщение, как обычно, а затем, когда было предложено, поместила его на поддельную страницу входа. Затем фишер использовал эту информацию, чтобы получить доступ к своей учетной записи Gmail..

Фишинг.

Значит ли это, что двухфакторная аутентификация не работает?

Я не говорю, что двухэтапная проверка подлинности не выполняет свою работу. Я по-прежнему чувствую себя в большей безопасности и с включенным двухфакторным коэффициентом, и я собираюсь сохранить его таким же образом. Но, услышав этот эпизод, я понял, что все еще уязвим. Итак, считайте это поучительной историей. Не будьте слишком самоуверенными и используйте меры безопасности, чтобы защитить себя от невообразимого.

О, кстати, гениальный хакер из этой истории: @DanielBoteanu

Используете ли вы двухэтапную аутентификацию? Какие еще меры безопасности вы используете?

Оцените статью
hackpad.ru
Добавить комментарий