Фишер взломал двухфакторную аутентификацию Gmail

отключен от сети

ПоДжек Буш

Последнее обновление18 ноября 2019 г.

Здесь, в groovyPost, мы постоянно продвигаем двухэтапную аутентификацию как способ защиты ваших онлайн-аккаунтов. Я использую Двухфакторная аутентификация Gmail в течение достаточно долгого времени, и я должен сказать, это заставляет меня чувствовать себя в безопасности. Для тех, кто не использует его, двухэтапная аутентификация означает, что вы должны использовать свой пароль для входа в систему и один другой уникальный код (обычно отправляемый с помощью текста, телефонного звонка или приложения, например Google Authenticator). Правда, это немного больно, но оно того стоит для меня. Я действительно видел случаи, когда это блокировало попытку взлома (то есть я получал двухфакторные текстовые сообщения на своем телефоне, когда я не пытался войти в систему, что означает, что кто-то правильно ввел мой пароль).

Итак, на прошлой неделе меня поразило, когда я услышал в подкасте «Ответить всем», что хакер успешно фишил кого-то с помощью двухэтапной проверки Gmail. Это было в эпизоде ​​под названием Какой вид идиота получает фишинг? Это отличный эпизод, поэтому я не буду его портить, рассказав, кто такой «идиот», но я расскажу вам некоторые приемы, которые они использовали.

1. Похожи доменные имена

Хакер получил разрешение от продюсеров сериала попытаться взломать персонал. Но у них не было инсайдерского доступа к своим серверам. Но первым шагом к достижению их целей был подделка адреса электронной почты коллеги. Видите ли, человек, чью электронную почту они подделали, был:

[email protected]

Адрес электронной почты, используемый фишером, был таким:

[email protected]

Можете ли вы сказать разницу? В зависимости от шрифта, вы, возможно, не заметили, что слово «media» в доменном имени на самом деле пишется как r-n-e-d-i-a. R и N смолкли вместе выглядят как м. Домен был легитимным, поэтому его не могли бы получить спам-фильтр.

2. Убедительные вложения и основной текст

Самая хитрая часть фишингового электронного письма заключалась в том, что оно звучало чрезвычайно законно. Большую часть времени вы можете заметить сомнительное письмо с его странными символами и ломаным английским языком за милю. Но этот фишер притворился продюсером, который отправлял кусок звука команде для редактирования и утверждения. В сочетании с убедительным доменным именем это казалось очень правдоподобным.

3. Поддельная 2-ступенчатая страница входа в Gmail

Это был хитрый. Итак, одним из вложенных файлов был PDF в Google Docs. Или так казалось. Когда жертва щелкала по вложению, она побуждала их войти в Google Docs, что иногда приходится делать, даже если вы уже вошли в Gmail (или, кажется, так).

А вот и умная часть.

Фишер создал поддельную страницу входа, которая отправила реальный Запрос двухфакторной аутентификации на реальном сервере Google, хотя страница входа в систему была полностью фальшивой. Таким образом, жертва получила текстовое сообщение, как обычно, а затем, при появлении запроса, поместила его на поддельную страницу входа. Затем фишер использовал эту информацию, чтобы получить доступ к своей учетной записи Gmail.

Подмененный.

Значит ли это, что двухфакторная аутентификация нарушена?

Я не говорю, что двухэтапная аутентификация не выполняет свою работу. Я все еще чувствую себя безопаснее и безопаснее с включенным 2-фактором, и я собираюсь продолжать в том же духе. Но услышав этот эпизод, я понял, что все еще уязвим. Итак, считайте это предостерегающим рассказом. Не будьте слишком самоуверенны и проследите за мерами безопасности, чтобы защитить себя от немыслимого.

О, кстати, гениальный хакер из этой истории: @DanielBoteanu

Используете ли вы двухэтапную аутентификацию? Какие другие меры безопасности вы используете?