Zde na groovyPost neustále prosazujeme dvoufázové ověření jako způsob zabezpečení vašich online účtů. Používám dvoufaktorové ověřování v Gmailu už nějakou dobu a musím říct, že se cítím velmi bezpečně. Pro ty, kteří jej nepoužívají, dvoufázové ověření znamená, že k přihlášení musíte použít své heslo a jeden další jedinečný kód (obvykle odeslaný prostřednictvím textu, telefonního hovoru nebo aplikace, jako je Google Authenticator). Pravda, je to trochu bolest, ale připadá mi to za to. Vlastně jsem viděl případy, kdy je to pokus o hackování (tj. Mám 2-faktorové texty na svém telefonu, když jsem se nepokoušel přihlásit, což znamená, že někdo správně zadal své heslo).

Druhý týden mě to šokovalo, když jsem v podcastu Odpovědět všem uslyšel, že hacker úspěšně neoprávněně neoprávněně phishingoval pomocí dvoufázového ověření v Gmailu. To bylo v epizodě nazvané What Kind of Idiot Gets Phishing? Je to skvělá epizoda, takže vám to nezkazím tím, že řeknu, kdo byl „idiot“, ale řeknu vám některé triky, které použili.

1. Vypadejte stejně jako doménová jména

Hacker měl povolení od producentů show, aby se pokusili hacknout zaměstnance. Neměli však žádný zasvěcený přístup k jejich serverům. Prvním krokem k pwning jejich cílů bylo spoofing e-mailovou adresu spolupracovníka. Podívejte se, osoba, jejímž e-mailem spoofed, byla:

phia@gimletmedia.com

E-mailová adresa, kterou phisher použil, byla tato:

phia@gimletrnedia.com

Můžete rozeznat rozdíl? V závislosti na písmu jste si možná nevšimli, že slovo „media“ v názvu domény je ve skutečnosti napsáno rnedia. R a n se rozbít společně vypadají jako m. Doména byla legitimní, takže by ji nezískal spamový filtr.

2. Přesvědčivé přílohy a text těla

Nejtěžší částí phishingového e-mailu bylo, že to znělo velmi legitimně. Většinou si můžete všimnout stinného e-mailu z míle daleko podle jeho podivných znaků a rozbité angličtiny. Tento phisher však předstíral, že je producentem, který posílá kousek zvuku týmu k úpravám a schválení. Ve spojení s přesvědčivým názvem domény to vypadalo velmi uvěřitelně.

3. Falešná dvoufázová přihlašovací stránka pro Gmail

To bylo ošidné. Jedna z odeslaných příloh byla tedy PDF v Dokumentech Google. Nebo to tak vypadalo. Když oběť klikla na přílohu, vyzvala je k přihlášení do Dokumentů Google, jak občas musíte udělat, i když jste již přihlášeni do Gmailu (nebo se to zdá).

A tady je chytrá část.

Phisher vytvořil falešnou přihlašovací stránku, která poslala skutečný dvoufaktorový autentizační požadavek na skutečný server Google, přestože přihlašovací stránka byla úplně falešná. Oběť tak dostala textovou zprávu stejně jako normálně, a poté, co se zobrazí výzva, vložte ji na falešnou přihlašovací stránku. Phisher pak tyto informace použil k získání přístupu k jejich účtu Gmail.

Phishing.

Znamená to, že je přerušeno dvoufaktorové ověření?

Neříkám, že dvoufázové ověření neprobíhá. Pořád se cítím bezpečněji a bezpečněji s aktivovaným 2-faktorem a budu to tak udržovat. Ale slyšení této epizody mě přimělo uvědomit si, že jsem stále zranitelný. Takže to považujte za varovný příběh. Nenechte se příliš sebevědomí a vrstva bezpečnostních opatření, abyste se ochránili před nepředstavitelným.

Oh, mimochodem, geniální hacker z příběhu je: @ Danielieloteanu

Používáte dvoufázové ověření? Jaká další bezpečnostní opatření používáte?