Цей інструмент може зламати ваші рахунки навіть за допомогою двофакторної аутентифікації

Цей інструмент може зламати ваші рахунки навіть за допомогою двофакторної аутентифікації

Інтернет - це небезпечне місце, наповнене тіньовими людьми, які хочуть вкрасти вашу особисту інформацію. Включення двофакторної аутентифікації (іноді це називається двофакторною верифікацією) - це один з найкращих способів зберегти безпеку своїх онлайн-облікових записів. Проте знаменитий хакер Кевін Мітнік показує, як навіть ця міра безпеки не може повністю захистити ваші дані, якщо ви не залишаєтеся постійно пильними.

Питання про руйнування не було розроблено Мітніком, який працює головним хакерським офіцером безпеки фірми KnowBe4. Кредит на це йде на товариша Мітніка та хакери білого шапки Куби Грецькі. Інструмент відомий як badgynx, і це робить фішинг можливим, навіть якщо ціль використовує двофакторну аутентифікацію. Це, по суті, атака між людьми, але використовує proxy_pass і sub_filter для зміни та захоплення HTTP-трафіку. Для цього потрібен HTTP-сервер Nginx та знайомство з Debian Linux. Багато людей мають необхідні знання для цього.

Ви можете отримати повний технічний виклад злому на сайті Gretzky, але Мітнік має приємну, засвоювану демонстрацію відео інструменту в дії (вставлено нижче). Він використовує LinkedIn як приклад, але його можна використовувати на Google, Facebook та будь-що інше, що використовує стандартний двофакторний логін. Атака починається так само, як і всі фішингові атаки - з розумно розробленим електронним листом. Ви повинні переконати ціль, щоб натиснути на посилання, яка завантажує ваш сайт, який маскує як сторінка, яку очікує ваша мета. У цьому випадку це LinkedIn.

Викрадення такого імені користувача та пароля є простим, оскільки вони не змінюються. Двофакторний код змінюється кожні кілька секунд, тому, приймаючи це з вашої підробленої сторінки, безглуздо. Використовуючи злаггикс, Мітнік показує, як сторінка не фіксує код 2FA, а сеансовий файл cookie. Це ідентифікує користувача на сайті, що дозволяє зловмисникові негайно перейти на ваш обліковий запис.

Мітнік продовжує показувати, як можна завантажувати файли cookie сесії вручну за допомогою консолі розробника Chrome, яка займає лише кілька кліків. Потім все, що вам потрібно зробити, це перезавантажити сторінку, і LinkedIn показує сеанс входу. Вам не потрібно вводити ім'я користувача, пароль або навіть код 2FA.

Gretzky опублікував код для його 2FA хак на GitHub, так що кожен має доступ до нього. Це означає, що люди можуть спробувати використовувати його для цілей фішингу, але дослідники та освітяни також можуть допомогти захистити користувачів. Це просто йде, щоб показати вам; навіть двофакторна аутентифікація не захистить вас від ваших власних бідних рішень.

Читати далі

Вчені розробляють назальний спрей, який може вивести з ладу коронавірус
Вчені розробляють назальний спрей, який може вивести з ладу коронавірус

У нещодавно випущеному дослідженні, задум був ефективним для дезактивації нового коронавірусу, перш ніж він міг заразити клітини.

Тести Cyberpunk 2077 показують, що навіть найшвидший графічний процесор у світі не може грати на 4K
Тести Cyberpunk 2077 показують, що навіть найшвидший графічний процесор у світі не може грати на 4K

Напевно, Cyberpunk 2077 не міг виправдати ажіотаж після восьми років розробки, але проблеми з продуктивністю не допомагають.

Навіть Apple не може продати крихітні телефони, скорочує виробництво iPhone 12 Mini 70 відсотків
Навіть Apple не може продати крихітні телефони, скорочує виробництво iPhone 12 Mini 70 відсотків

Ви, мабуть, чули багато шумів про крихітний iPhone в Інтернеті, але новий звіт стверджує, що Apple сильно завищила кількість людей, які насправді придбали б телефон, і йому довелося скоротити виробництво понад 70 відсотків.

Навіть орендуючи скальпінг бот не гарантує, що ви приземлитесь до GPU
Навіть орендуючи скальпінг бот не гарантує, що ви приземлитесь до GPU

Переслідує ідею, яка відмовляється заплатити сотні коштів для скасування бота означає, що ви не отримаєте новий GPU? Хороші новини! Покупка не обов'язково допомагає.