„GroovyPost“ svetainėje mes nuolat stumiame dviejų žingsnių autentifikavimą kaip būdą apsaugoti jūsų internetines paskyras. Aš gana ilgą laiką naudoju 2 faktorių „Gmail“ autentifikavimą ir turiu pasakyti, kad tai leidžia man jaustis labai saugiai. Tiems, kurie jo nenaudoja, dviejų pakopų autentifikavimas reiškia, kad prisijungdami turite naudoti slaptažodį ir vieną kitą unikalų kodą (paprastai siunčiamą teksto, telefono skambučio ar tokios programos pagalba kaip „Google Authenticator“). Tiesa, tai šiek tiek skauda, ​​bet manau, kad verta. Aš iš tikrųjų mačiau atvejų, kai tai buvo bandoma įsilaužti (ty, telefone gavau 2 faktorių tekstus, kai nebandžiau prisijungti, vadinasi, kažkas teisingai įvedė mano slaptažodį).

Taigi kitą savaitę tai mane sukrėtė, kai podcast'e „Atsakyti visiems“ išgirdau, kad įsilaužėlis sėkmingai sukčiavo ką nors pasinaudojęs „Gmail“ patvirtinimu dviem veiksmais. Tai buvo epizode „Koks idiotas gauna sukčiavimą“? Tai puikus epizodas, todėl nepaneigsiu to jums sakydamas, kas buvo „idiotas“, bet aš jums papasakosiu keletą jų panaudotų triukų.

1. Panašiai žiūrėkite į domenų vardus

Hakeris turėjo šou prodiuserių leidimą bandyti nulaužti personalą. Bet jie neturėjo jokios galimybės naudotis viešai neatskleista informacija apie savo serverius. Bet pirmas žingsnis siekiant išsiaiškinti savo tikslus buvo apgauti bendradarbio el. Pašto adresą. Žr., Asmuo, kurio el. Pašto adresą jie apgavo:

phia@gimletmedia.com

El. Pašto adresas, kurį naudojo apgavikas, buvo šis:

phia@gimletrnedia.com

Ar galite pasakyti skirtumą? Priklausomai nuo šrifto, jūs galbūt nepastebėjote, kad žodis „media“ domeno pavadinime iš tikrųjų yra rašomas rnedia. R ir n sudžiūvę kartu atrodo kaip m. Domenas buvo teisėtas, todėl jo nebūtų pasirinkę šlamšto filtras.

2. Įtikinami priedai ir kūno tekstas

Apgaulingiausia sukčiavimo elektroninio laiško dalis buvo ta, kad jis skambėjo ypač teisėtai. Didžiąją laiko dalį galite pastebėti šešetą el. Laiško, esančio mylios atstumu, kuriame yra keistų ženklų ir sugedusios anglų kalbos. Bet šis apgavikas apsimetė prodiuseriu, nusiųsdamas garso įrašą komandai redaguoti ir patvirtinti. Kartu su įtikinamu domeno pavadinimu tai atrodė labai patikima.

3. Suklastotas 2 žingsnių „Gmail“ prisijungimo puslapis

Tai buvo keblu. Taigi, vienas iš atsiųstų priedų buvo PDF failas „Google“ dokumentuose. Arba taip atrodė. Kai auka spustelėjo priedą, jis paragino prisijungti prie „Google“ dokumentų, kaip jūs turite padaryti net tada, kai jau esate prisijungę prie „Gmail“ (arba taip atrodo).

Ir čia yra protinga dalis.

Sukčiautojas sukūrė suklastotą prisijungimo puslapį, kuris išsiuntė realų 2 faktorių autentifikavimo prašymą į tikrąjį „Google“ serverį, nors prisijungimo puslapis buvo visiškai suklastotas. Taigi, auka gavo tekstinį pranešimą kaip įprasta, o tada, kai jums bus pasiūlyta, įdėkite jį į suklastotą prisijungimo puslapį. Tuomet apgavikas pasinaudojo ta informacija norėdamas pasiekti savo „Gmail“ paskyrą.

Sukčiavo.

Taigi, ar tai reiškia, kad dviejų faktorių autentifikavimas nutrūksta?

Aš nesakau, kad dviejų pakopų autentifikavimas neatlieka savo darbo. Aš vis dar jaučiuosi saugesnis ir saugesnis, kai įjungtas 2 faktorių koeficientas, ir aš tai išlaikysiu taip. Bet išgirdęs šį epizodą privertiau suprasti, kad vis dar esu pažeidžiamas. Taigi apsvarstykite tai atsargiai. Negalima per daug pasitikėti savimi ir saugiai apsisaugoti nuo neįsivaizduojamų saugumo priemonių.

O, beje, genialus įsilaužėlis iš istorijos yra: @DanielBoteanu

Ar naudojate dviejų pakopų autentifikavimą? Kokias kitas saugumo priemones naudojate?