Phisher zhakował dwuskładnikowe uwierzytelnianie Gmaila

odłączony

PrzezJack Busch

Ostatnia aktualizacja dnia18 listopada 2019 r

Tutaj w groovyPost stale naciskamy na uwierzytelnianie dwuetapowe, aby zabezpieczyć twoje konta internetowe. Używałem Uwierzytelnianie Gmaila 2-czynnikowe od dłuższego czasu i muszę powiedzieć, że czuję się bardzo bezpiecznie. Dla tych, którzy go nie używają, uwierzytelnianie dwuetapowe oznacza, że ​​musisz zalogować się za pomocą hasła i jednego innego unikalnego kodu (zwykle wysyłanego SMS-em, połączenia telefonicznego lub aplikacji takiej jak Google Authenticator). To prawda, to trochę boli, ale wydaje mi się, że warto. Rzeczywiście widziałem przypadki, w których utrudniało to włamanie (to znaczy, że otrzymałem 2-czynnikowe SMS-y na telefonie, gdy nie próbowałem się zalogować, co oznacza, że ​​ktoś poprawnie wpisał moje hasło).

Tak więc w zeszłym tygodniu zaszokowało mnie, gdy usłyszałem w podcastu Odpowiedz wszystkim, że haker skutecznie wyłudził osobę korzystającą z 2-etapowej weryfikacji Gmaila. To było w odcinku zatytułowanym

Jakiego rodzaju idiota zostaje wyłudzony? To świetny odcinek, więc nie zepsuję go, mówiąc, kim był „idiota”, ale powiem ci kilka sztuczek, których użyli.

1. Wyglądają podobnie do nazw domen

Haker miał pozwolenie od producentów serialu na próbę zhakowania personelu. Ale nie mieli dostępu do swoich serwerów od osób z wewnątrz. Ale pierwszym krokiem do ustalenia swoich celów było sfałszowanie adresu e-mail współpracownika. Widzisz, osoba, której e-maila sfałszowali to:

phia@gimletmedia.com

Adres e-mail użyty przez phishera był następujący:

phia@gimletrnedia.com

Czy dostrzegasz różnicę? W zależności od czcionki, być może nie zauważyłeś, że słowo „media” w nazwie domeny jest tak naprawdę napisane r-n-e-d-i-a. R i n zmiażdżone razem wyglądają jak m. Domena była legalna, więc nie zostałaby wykryta przez filtr antyspamowy.

2. Przekonujące załączniki i treść

Najtrudniejszą częścią wiadomości phishingowej było to, że brzmiała ona wyjątkowo legalnie. Przez większość czasu możesz dostrzec podejrzany e-mail z odległości mili od jego dziwnych postaci i łamanego angielskiego. Ale ten phisher udawał, że jest producentem wysyłającym kawałek audio do zespołu w celu edycji i zatwierdzenia. W połączeniu z przekonującą nazwą domeny wydawało się to bardzo wiarygodne.

3. Fałszywa 2-etapowa strona logowania Gmaila

To było trudne. Tak więc jednym z przesłanych załączników był plik PDF w Dokumentach Google. A przynajmniej tak się wydawało. Gdy ofiara kliknęła załącznik, zachęciła ją do zalogowania się w Dokumentach Google, co czasami trzeba zrobić nawet wtedy, gdy jesteś już zalogowany do Gmaila (a przynajmniej tak się wydaje).

A oto sprytna część.

Phisher stworzył fałszywą stronę logowania, która wysłała real Żądanie uwierzytelnienia dwuskładnikowego na prawdziwym serwerze Google, nawet jeśli strona logowania była całkowicie fałszywa. Ofiara otrzymała więc wiadomość tekstową tak jak zwykle, a następnie po wyświetleniu monitu umieść ją na fałszywej stronie logowania. Następnie phisher wykorzystał te informacje, aby uzyskać dostęp do swojego konta Gmail.

Phishing

Czy to oznacza, że ​​uwierzytelnianie dwuskładnikowe jest zepsute?

Nie twierdzę, że uwierzytelnianie dwuetapowe nie spełnia swojej roli. Nadal czuję się bezpieczniejsza dzięki włączonemu 2-czynnikowi i zamierzam tak pozostać. Ale usłyszenie tego odcinka uświadomiło mi, że wciąż jestem wrażliwy. Uważaj to za przestrogę. Nie bądź zbyt pewny siebie i nałóż środki bezpieczeństwa, aby uchronić się przed niewyobrażalnym.

A tak przy okazji, genialny haker z tej historii to: @DanielBoteanu

Czy korzystasz z uwierzytelniania dwuetapowego? Z jakich innych środków bezpieczeństwa korzystasz?