2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
正如黑客演示所示,可以擊敗雙因素身份驗(yàn)證。人們關(guān)注的是一個(gè)視頻發(fā)布,其中KnownBe4首席黑客官員Kevin Mitnick透露了雙因素漏洞。
雙因素身份驗(yàn)證是“一個(gè)額外的安全層,需要員工HAS和他們所知道的東西。”
“這次攻擊的核心是一個(gè)網(wǎng)絡(luò)釣魚(yú)郵件,在這種情況下,一個(gè)據(jù)稱(chēng)是由LinkedIn發(fā)送給一個(gè)成員,表示有人試圖在社交網(wǎng)絡(luò)上與他們聯(lián)系,” SC雜志的 Doug Olenick說(shuō)。
用戶(hù)獲取虛假登錄頁(yè)面。這種攻擊方法在安全用語(yǔ)中被描述為憑證網(wǎng)絡(luò)釣魚(yú)技術(shù),它需要使用拼寫(xiě)錯(cuò)誤的域名。這個(gè)想法是讓用戶(hù)放棄他/她的憑據(jù)。凱文的白帽黑客朋友開(kāi)發(fā)了旨在繞過(guò)雙因素身份驗(yàn)證的工具。
在這種攻擊中,拼寫(xiě)錯(cuò)誤的域名是什么意思?這是一個(gè)技巧,“蹲”反映了它如何在另一個(gè)實(shí)體上進(jìn)行網(wǎng)絡(luò)搶斷。使用故意錯(cuò)誤字母地址及其印刷錯(cuò)誤工廠的互聯(lián)網(wǎng)用戶(hù)可能會(huì)被引導(dǎo)到黑客運(yùn)行的替代網(wǎng)站。
通過(guò)虛假的Linked-In電子郵件,Mitnick在登錄他的Gmail帳戶(hù)時(shí)展示了這一切是如何運(yùn)作的。
PCMag的英國(guó)編輯和新聞?dòng)浾進(jìn)atthew Humphries 在攻擊中說(shuō),有關(guān)該網(wǎng)站被定位的電子郵件似乎沒(méi)有,“所以收件人不會(huì)花時(shí)間檢查它發(fā)送的域名。”
在這種情況下,電子郵件來(lái)自llnked.com而不是linkedin .com- 如果你不在尋找虛假的游戲,很容易錯(cuò)過(guò)。單擊電子郵件中的“感興趣”按鈕會(huì)將用戶(hù)帶到一個(gè)看起來(lái)就像LinkedIn登錄頁(yè)面的網(wǎng)站??偠灾?,米特尼克表示,僅僅通過(guò)將他們重定向到一個(gè)看起來(lái)像LinkedIn的網(wǎng)站并使用2FA對(duì)他們來(lái)竊取他們的登錄憑據(jù)和網(wǎng)站訪問(wèn),并不是那么難以繼續(xù)并獲得LinkedIn用戶(hù)的詳細(xì)信息。亨弗里斯。
該演示使用LinkedIn作為示例,但它可以在谷歌,F(xiàn)acebook和其他任何帶有雙因素登錄的東西上使用; 報(bào)道說(shuō)這個(gè)工具可以為幾乎任何網(wǎng)站“武器化”。
有趣的是,去年Russell Brandom在The Verge中表示,在參考雙因素身份驗(yàn)證時(shí),“是時(shí)候?qū)ζ湎拗七M(jìn)行誠(chéng)實(shí)了” 。Brandom講述了雙因素的承諾如何在惡作劇制造者繞過(guò)它的時(shí)候開(kāi)始解開(kāi)。他說(shuō),“很明顯,大多數(shù)雙因素系統(tǒng)都不能與高級(jí)用戶(hù)對(duì)抗。”
盡管如此,他說(shuō),在大多數(shù)情況下,問(wèn)題本身不是雙因素。這是“它周?chē)囊磺?。如果你可以突破那個(gè)雙因素登錄旁邊的任何東西 - 無(wú)論是帳戶(hù)恢復(fù)流程,可信設(shè)備還是底層運(yùn)營(yíng)商帳戶(hù) - 那么你就可以免費(fèi)回家了。”
然而,提出了一條明顯的建議,即對(duì)鏈接保持警惕。此外,關(guān)于什么是雙因素身份驗(yàn)證的觀點(diǎn)是有用的。它比基本密碼機(jī)制更緊湊。這是一個(gè)額外的安全層。但正如KnowBe4首席執(zhí)行官Stu Sjouwerman所說(shuō):“雙因素身份驗(yàn)證旨在成為額外的安全層,但在這種情況下,我們清楚地看到您不能單獨(dú)依賴(lài)它來(lái)保護(hù)您的組織。”
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。