Хакери використовують фішингові електронні листи для введення двох кодів поштового коду

Хакери використовують фішингові електронні листи для введення двох кодів поштового коду

Звичайна мудрість говорить, що додавання двофакторної автентифікації (2FA) захистить ваші облікові записи від більшості фішингових шахрайств, але нова хвиля складних автоматичних атак нагадує нам, що 2FA не є непогрішним. Як і у всіх заходах безпеки, це лише таке ж безпечне, як найслабша ланка - людська. Нова фішингова кампанія спонукає людей передавати свої дані облікового запису та їх жетони 2FA.

Звіт надходить від "Міжнародної амністії", яка зазвичай не публікує новини з кібербезпеки. У цьому випадку "Амністія" зацікавлена ​​в тому, що напади переважно орієнтовані на активістів та журналістів на Близькому Сході та в Північній Африці. Як пояснює Amnesty, існує кілька різних фішингу-кампаній, які, ймовірно, пов'язані між собою.

У найдосконалішій кампанії зловмисники націлювалися на сотні облікових записів Yahoo та Google, які використовують активісти. Мета полягає в тому, щоб обійти захист двох факторів та отримати доступ до облікового запису. Розглядаючи підозрілі електронні листи, позначені активістами в 2017 та 2018 роках, Amnesty виявив посилання, які стверджують, що це попередження про безпеку. Однак вони переспрямовують на фальшиву сторінку, яка збирає реквізити. Це не унікально, але наступна фаза піднімає її.

Після того, як ціль введено ім'я користувача та пароль, шкідливі сайти будуть дистанційно входити в обліковий запис. Потім він запитав код через SMS, якщо в обліковому записі було включено двофактор. Підроблений сайт запитував код, який, здавалося б, не зовсім звичайний - вам доведеться поставити код 2FA під час звичайного входу в систему. Однак, зловмисний сайт використовував цей код для входу в обліковий запис віддалено, перш ніж термін дії токенів закінчився. Користувачеві буде запропоновано змінити свій пароль, який потім зловмисник заощадить для подальшого використання.

Підробка журналу входу в Gmail із запитом коду 2FA.
Підробка журналу входу в Gmail із запитом коду 2FA.

Друга та третя кампанії використовували подібну тактику, але орієнтовані на користувачів зашифрованих служб електронної пошти Protonmail і Tutanota. В обох випадках атакуючі реєстрували, здавалося б, справжні домени з підробленими вхідними сторінками. З тих пір ці домени були закриті.

Міжнародна амністія вважає, що держави Затоки захищають фішингові кампанії, сподіваючись збирати інформацію про дисидентів та протестуючих у своїх країнах. Нехай це буде нагадуванням, що двофакторна аутентифікація - це не срібна куля. Ви все ще повинні бути насторожі електронних листів із посиланнями на зовнішні сторінки. Ви повинні ввести свої облікові дані на підтверджених сайтами справжньою угодою.

Читати далі

Зонди Voyager знаходять нову фізику, що прискорює електрон, у глибокому космосі
Зонди Voyager знаходять нову фізику, що прискорює електрон, у глибокому космосі

Нещодавно опубліковане дослідження Університету Айови каже, що зонди "Вояджер" виявили абсолютно новий вид "сплеску електронів", пов'язаний з викидами корональної маси на Сонце.

Прямо з наукової фантастики: Вчені створюють кристал, виготовлений виключно з електронів
Прямо з наукової фантастики: Вчені створюють кристал, виготовлений виключно з електронів

Три окремі команди дослідників створили кристал, виготовлений цілком з електронів, - і один з них фактично зробив це випадково.

"Електронна носа" може виявити прекрасний віскі, підроблений парфум
"Електронна носа" може виявити прекрасний віскі, підроблений парфум

Обидва ринки переживають шахрайство. Творці електронного носа прагнуть змінити це.

Нью -Йорк стає першим штатом, який пройшов право на ремонт законопроекту про електроніку
Нью -Йорк стає першим штатом, який пройшов право на ремонт законопроекту про електроніку

У величезній виграші за право на ремонт адвокатів, Нью -Йорк прийняв рахунок, який вимагає від компаній пропонувати посібники, інструменти та деталі будь -якому ремонту або власнику продукції. Тепер ми з нетерпінням чекаємо, що він підписався на закон.