技术前沿

双因素身份验证黑客攻击假电子邮件

2019-06-19 蓝西资讯

正如黑客演示所示,可以击败双因素身份验证。人们关注的是一个视频发布,其中KnownBe4首席黑客官员Kevin Mitnick透露了双因素漏洞。

双因素身份验证是“一个额外的安全层,需要员工HAS和他们所知道的东西。”

“这次攻击的核心是一个网络钓鱼邮件,在这种情况下,一个据称是由LinkedIn发送给一个成员,表示有人试图在社交网络上与他们联系,” SC杂志的 Doug Olenick说。

用户获取虚假登录页面。这种攻击方法在安全用语中被描述为凭证网络钓鱼技术,它需要使用拼写错误的域名。这个想法是让用户放弃他/她的凭据。凯文的白帽黑客朋友开发了旨在绕过双因素身份验证的工具。

在这种攻击中,拼写错误的域名是什么意思?这是一个技巧,“蹲”反映了它如何在另一个实体上进行网络抢断。使用故意错误字母地址及其印刷错误工厂的互联网用户可能会被引导到黑客运行的替代网站。

通过虚假的Linked-In电子邮件,Mitnick在登录他的Gmail帐户时展示了这一切是如何运作的。

PCMag的英国编辑和新闻记者Matthew Humphries 在攻击中说,有关该网站被定位的电子邮件似乎没有,“所以收件人不会花时间检查它发送的域名。”

在这种情况下,电子邮件来自llnked.com而不是linkedin .com- 如果你不在寻找虚假的游戏,很容易错过。单击电子邮件中的“感兴趣”按钮会将用户带到一个看起来就像LinkedIn登录页面的网站。总而言之,米特尼克表示,仅仅通过将他们重定向到一个看起来像LinkedIn的网站并使用2FA对他们来窃取他们的登录凭据和网站访问,并不是那么难以继续并获得LinkedIn用户的详细信息。亨弗里斯。

该演示使用LinkedIn作为示例,但它可以在谷歌,Facebook和其他任何带有双因素登录的东西上使用; 报道说这个工具可以为几乎任何网站“武器化”。

有趣的是,去年Russell Brandom在The Verge中表示,在参考双因素身份验证时,“是时候对其限制进行诚实了” 。Brandom讲述了双因素的承诺如何在恶作剧制造者绕过它的时候开始解开。他说,“很明显,大多数双因素系统都不能与高级用户对抗。”

尽管如此,他说,在大多数情况下,问题本身不是双因素。这是“它周围的一切。如果你可以突破那个双因素登录旁边的任何东西 - 无论是帐户恢复流程,可信设备还是底层运营商帐户 - 那么你就可以免费回家了。”

然而,提出了一条明显的建议,即对链接保持警惕。此外,关于什么是双因素身份验证的观点是有用的。它比基本密码机制更紧凑。这是一个额外的安全层。但正如KnowBe4首席执行官Stu Sjouwerman所说:“双因素身份验证旨在成为额外的安全层,但在这种情况下,我们清楚地看到您不能单独依赖它来保护您的组织。”