Цей інструмент може зламати ваші рахунки навіть за допомогою двофакторної аутентифікації

Цей інструмент може зламати ваші рахунки навіть за допомогою двофакторної аутентифікації

Інтернет - це небезпечне місце, наповнене тіньовими людьми, які хочуть вкрасти вашу особисту інформацію. Включення двофакторної аутентифікації (іноді це називається двофакторною верифікацією) - це один з найкращих способів зберегти безпеку своїх онлайн-облікових записів. Проте знаменитий хакер Кевін Мітнік показує, як навіть ця міра безпеки не може повністю захистити ваші дані, якщо ви не залишаєтеся постійно пильними.

Питання про руйнування не було розроблено Мітніком, який працює головним хакерським офіцером безпеки фірми KnowBe4. Кредит на це йде на товариша Мітніка та хакери білого шапки Куби Грецькі. Інструмент відомий як badgynx, і це робить фішинг можливим, навіть якщо ціль використовує двофакторну аутентифікацію. Це, по суті, атака між людьми, але використовує proxy_pass і sub_filter для зміни та захоплення HTTP-трафіку. Для цього потрібен HTTP-сервер Nginx та знайомство з Debian Linux. Багато людей мають необхідні знання для цього.

Ви можете отримати повний технічний виклад злому на сайті Gretzky, але Мітнік має приємну, засвоювану демонстрацію відео інструменту в дії (вставлено нижче). Він використовує LinkedIn як приклад, але його можна використовувати на Google, Facebook та будь-що інше, що використовує стандартний двофакторний логін. Атака починається так само, як і всі фішингові атаки - з розумно розробленим електронним листом. Ви повинні переконати ціль, щоб натиснути на посилання, яка завантажує ваш сайт, який маскує як сторінка, яку очікує ваша мета. У цьому випадку це LinkedIn.

Викрадення такого імені користувача та пароля є простим, оскільки вони не змінюються. Двофакторний код змінюється кожні кілька секунд, тому, приймаючи це з вашої підробленої сторінки, безглуздо. Використовуючи злаггикс, Мітнік показує, як сторінка не фіксує код 2FA, а сеансовий файл cookie. Це ідентифікує користувача на сайті, що дозволяє зловмисникові негайно перейти на ваш обліковий запис.

Мітнік продовжує показувати, як можна завантажувати файли cookie сесії вручну за допомогою консолі розробника Chrome, яка займає лише кілька кліків. Потім все, що вам потрібно зробити, це перезавантажити сторінку, і LinkedIn показує сеанс входу. Вам не потрібно вводити ім'я користувача, пароль або навіть код 2FA.

Gretzky опублікував код для його 2FA хак на GitHub, так що кожен має доступ до нього. Це означає, що люди можуть спробувати використовувати його для цілей фішингу, але дослідники та освітяни також можуть допомогти захистити користувачів. Це просто йде, щоб показати вам; навіть двофакторна аутентифікація не захистить вас від ваших власних бідних рішень.

Читати далі

Microsoft оголошує про нові інструменти конфіденційності даних для Windows 10

Незабаром ви зможете побачити діагностичні дані, які корпорація Майкрософт збирає з Windows і що вона робить з ним.

Нова Windows Build поєднує вдосконалений інструмент знімка та розширює доступ до наборів

Після ряду таємничих затримок, Microsoft нарешті випустила оновлення Spring Creators для Windows 10 на початку цього тижня. Не витрачаючи жодного часу, Microsoft нещодавно випустила нову версію Insiders, яка попередньо переглядає деякі нові функції, які можна очікувати у Windows 10 незабаром.

Apple, щоб блокувати поліцію iPhone хакерські інструменти в майбутньому оновлення

Як повідомляється, Apple почав шукати в експерименті GrayKey після новини про пристрій, що з'явився в минулому році. Замість того, щоб грати в кішку і мишу з компанією для виправлення експлойтів, Apple просто вирішила обмежити дані на USB-порту.

Дослідники заявляють, що неандертальці можуть почати займатися кам'яними інструментами

Археолог Андрій Соренсен і його колеги тепер кажуть, що неандертальці вміли вживати вогонь, і вони прийшли до цього рішення після того, як самі пожежі.