Phisher zhakował dwuskładnikowe uwierzytelnianie Gmaila
Bezpieczeństwo Gmail Wyłudzanie Informacji / / March 19, 2020
Ostatnia aktualizacja dnia
Weryfikacja dwuetapowa sprawia, że Twoje konto Google jest wykładniczo bardziej bezpieczne. Ale nadal nie jesteś niezwyciężony dla hakerów.
Tutaj w groovyPost stale naciskamy na uwierzytelnianie dwuetapowe, aby zabezpieczyć twoje konta internetowe. Używałem Uwierzytelnianie Gmaila 2-czynnikowe od dłuższego czasu i muszę powiedzieć, że czuję się bardzo bezpiecznie. Dla tych, którzy go nie używają, uwierzytelnianie dwuetapowe oznacza, że musisz zalogować się za pomocą hasła i jednego innego unikalnego kodu (zwykle wysyłanego SMS-em, połączenia telefonicznego lub aplikacji takiej jak Google Authenticator). To prawda, to trochę boli, ale wydaje mi się, że warto. Rzeczywiście widziałem przypadki, w których utrudniało to włamanie (to znaczy, że otrzymałem 2-czynnikowe SMS-y na telefonie, gdy nie próbowałem się zalogować, co oznacza, że ktoś poprawnie wpisał moje hasło).
Tak więc w zeszłym tygodniu zaszokowało mnie, gdy usłyszałem w podcastu Odpowiedz wszystkim, że haker skutecznie wyłudził osobę korzystającą z 2-etapowej weryfikacji Gmaila. To było w odcinku zatytułowanym
1. Wyglądają podobnie do nazw domen
Haker miał pozwolenie od producentów serialu na próbę zhakowania personelu. Ale nie mieli dostępu do swoich serwerów od osób z wewnątrz. Ale pierwszym krokiem do ustalenia swoich celów było sfałszowanie adresu e-mail współpracownika. Widzisz, osoba, której e-maila sfałszowali to:
Adres e-mail użyty przez phishera był następujący:
Czy dostrzegasz różnicę? W zależności od czcionki, być może nie zauważyłeś, że słowo „media” w nazwie domeny jest tak naprawdę napisane r-n-e-d-i-a. R i n zmiażdżone razem wyglądają jak m. Domena była legalna, więc nie zostałaby wykryta przez filtr antyspamowy.
2. Przekonujące załączniki i treść
Najtrudniejszą częścią wiadomości phishingowej było to, że brzmiała ona wyjątkowo legalnie. Przez większość czasu możesz dostrzec podejrzany e-mail z odległości mili od jego dziwnych postaci i łamanego angielskiego. Ale ten phisher udawał, że jest producentem wysyłającym kawałek audio do zespołu w celu edycji i zatwierdzenia. W połączeniu z przekonującą nazwą domeny wydawało się to bardzo wiarygodne.
3. Fałszywa 2-etapowa strona logowania Gmaila
To było trudne. Tak więc jednym z przesłanych załączników był plik PDF w Dokumentach Google. A przynajmniej tak się wydawało. Gdy ofiara kliknęła załącznik, zachęciła ją do zalogowania się w Dokumentach Google, co czasami trzeba zrobić nawet wtedy, gdy jesteś już zalogowany do Gmaila (a przynajmniej tak się wydaje).
A oto sprytna część.
Phisher stworzył fałszywą stronę logowania, która wysłała real Żądanie uwierzytelnienia dwuskładnikowego na prawdziwym serwerze Google, nawet jeśli strona logowania była całkowicie fałszywa. Ofiara otrzymała więc wiadomość tekstową tak jak zwykle, a następnie po wyświetleniu monitu umieść ją na fałszywej stronie logowania. Następnie phisher wykorzystał te informacje, aby uzyskać dostęp do swojego konta Gmail.
Phishing
Czy to oznacza, że uwierzytelnianie dwuskładnikowe jest zepsute?
Nie twierdzę, że uwierzytelnianie dwuetapowe nie spełnia swojej roli. Nadal czuję się bezpieczniejsza dzięki włączonemu 2-czynnikowi i zamierzam tak pozostać. Ale usłyszenie tego odcinka uświadomiło mi, że wciąż jestem wrażliwy. Uważaj to za przestrogę. Nie bądź zbyt pewny siebie i nałóż środki bezpieczeństwa, aby uchronić się przed niewyobrażalnym.
A tak przy okazji, genialny haker z tej historii to: @DanielBoteanu
Czy korzystasz z uwierzytelniania dwuetapowego? Z jakich innych środków bezpieczeństwa korzystasz?