Цей інструмент може зламати ваші рахунки навіть за допомогою двофакторної аутентифікації

Цей інструмент може зламати ваші рахунки навіть за допомогою двофакторної аутентифікації

Інтернет - це небезпечне місце, наповнене тіньовими людьми, які хочуть вкрасти вашу особисту інформацію. Включення двофакторної аутентифікації (іноді це називається двофакторною верифікацією) - це один з найкращих способів зберегти безпеку своїх онлайн-облікових записів. Проте знаменитий хакер Кевін Мітнік показує, як навіть ця міра безпеки не може повністю захистити ваші дані, якщо ви не залишаєтеся постійно пильними.

Питання про руйнування не було розроблено Мітніком, який працює головним хакерським офіцером безпеки фірми KnowBe4. Кредит на це йде на товариша Мітніка та хакери білого шапки Куби Грецькі. Інструмент відомий як badgynx, і це робить фішинг можливим, навіть якщо ціль використовує двофакторну аутентифікацію. Це, по суті, атака між людьми, але використовує proxy_pass і sub_filter для зміни та захоплення HTTP-трафіку. Для цього потрібен HTTP-сервер Nginx та знайомство з Debian Linux. Багато людей мають необхідні знання для цього.

Ви можете отримати повний технічний виклад злому на сайті Gretzky, але Мітнік має приємну, засвоювану демонстрацію відео інструменту в дії (вставлено нижче). Він використовує LinkedIn як приклад, але його можна використовувати на Google, Facebook та будь-що інше, що використовує стандартний двофакторний логін. Атака починається так само, як і всі фішингові атаки - з розумно розробленим електронним листом. Ви повинні переконати ціль, щоб натиснути на посилання, яка завантажує ваш сайт, який маскує як сторінка, яку очікує ваша мета. У цьому випадку це LinkedIn.

Викрадення такого імені користувача та пароля є простим, оскільки вони не змінюються. Двофакторний код змінюється кожні кілька секунд, тому, приймаючи це з вашої підробленої сторінки, безглуздо. Використовуючи злаггикс, Мітнік показує, як сторінка не фіксує код 2FA, а сеансовий файл cookie. Це ідентифікує користувача на сайті, що дозволяє зловмисникові негайно перейти на ваш обліковий запис.

Мітнік продовжує показувати, як можна завантажувати файли cookie сесії вручну за допомогою консолі розробника Chrome, яка займає лише кілька кліків. Потім все, що вам потрібно зробити, це перезавантажити сторінку, і LinkedIn показує сеанс входу. Вам не потрібно вводити ім'я користувача, пароль або навіть код 2FA.

Gretzky опублікував код для його 2FA хак на GitHub, так що кожен має доступ до нього. Це означає, що люди можуть спробувати використовувати його для цілей фішингу, але дослідники та освітяни також можуть допомогти захистити користувачів. Це просто йде, щоб показати вам; навіть двофакторна аутентифікація не захистить вас від ваших власних бідних рішень.

Читати далі

Яблуко клянеться уряди не можуть співпрацювати своїми інструментами виявлення дитини для спостереженн
Яблуко клянеться уряди не можуть співпрацювати своїми інструментами виявлення дитини для спостереженн

Яблуко нещодавно підтвердив звіт, який стверджував, що планувало полювання на нелегальні матеріали на iPhone. Це, від компанії, яка вже давно сприяла його захистом конфіденційності. Засудження було швидким від груп громадянських свобод, але багато хто з них утримує судження через призначену ціль Apple: зображення дитячого сексуального насильства.

Інструменти автоматизації AI-Powered Electronic Design може перевизначити чіпкітку
Інструменти автоматизації AI-Powered Electronic Design може перевизначити чіпкітку

Samsung оголосив, що він використовує інструменти AI EDA для побудови своїх екзинос-процесорів. Очікуйте більше анонсів у майбутньому, але більше спрямована на поступове прийняття, ніж раптовий сплеск.

Microsoft оголошує про нові інструменти конфіденційності даних для Windows 10
Microsoft оголошує про нові інструменти конфіденційності даних для Windows 10

Незабаром ви зможете побачити діагностичні дані, які корпорація Майкрософт збирає з Windows і що вона робить з ним.

Нова Windows Build поєднує вдосконалений інструмент знімка та розширює доступ до наборів
Нова Windows Build поєднує вдосконалений інструмент знімка та розширює доступ до наборів

Після ряду таємничих затримок, Microsoft нарешті випустила оновлення Spring Creators для Windows 10 на початку цього тижня. Не витрачаючи жодного часу, Microsoft нещодавно випустила нову версію Insiders, яка попередньо переглядає деякі нові функції, які можна очікувати у Windows 10 незабаром.