86
צפיות
על ידיג'ק בוש
עודכן לאחרונה ב
אימות דו-שלבי הופך את חשבון Google שלך לאבטח יותר באופן אקספוננציאלי. אבל אתה עדיין לא בלתי מנוצח להאקרים.
כאן ב- groovyPost, אנו דוחפים כל הזמן אימות דו-שלבי כדרך לאבטח את חשבונותיך המקוונים. השתמשתי אימות Gmail עם שני גורמים במשך די הרבה זמן ואני חייב לומר, זה גורם לי להרגיש מאוד בטוח. למי שלא משתמש בזה, אימות דו-שלבי פירושו שעליך להשתמש בסיסמה שלך כדי להתחבר וקוד ייחודי אחר (בדרך כלל נשלח באמצעות טקסט, שיחת טלפון או יישום כמו המאמת של גוגל). נכון, זה קצת כאב, אבל זה מרגיש לי שווה את זה. ראיתי למעשה מקרים שבהם זה היה מעורר ניסיון פריצה (כלומר, קיבלתי טקסטים דו-פקטוריים בטלפון שלי כשלא ניסיתי להתחבר, מה שאומר שמישהו הזין נכון את הסיסמה שלי).
אז בשבוע שעבר, זה זעזע אותי כששמעתי בפודקאסט של השב לכולם שהאקר התחמק בהצלחה ממישהו באמצעות אימות Gmail דו-שלבי. זה היה בפרק שכותרתו איזה אידיוט מקבל דיש? זה פרק נהדר, אז אני לא אקלקל לך את זה באומר מי היה "האידיוט", אבל אני אגיד לך כמה מהטריקים שהם השתמשו בהם.
1. נראה שמות מתחם זהים
להאקר היה אישור ממפיקי התוכנית לנסות לפרוץ את הצוות. אך לא הייתה להם גישה פנימית לשרתים שלהם. אבל הצעד הראשון לכתישת המטרות שלהם היה זיוף כתובת הדוא"ל של עמית לעבודה. ראה, מי שכתב את האימייל שלהם הוא:
כתובת הדוא"ל בה השתמש הפישר הייתה זו:
האם אתה יכול להבין את ההבדל? תלוי בגופן, יתכן שלא שמתם לב שהמילה "מדיה" בשם הדומיין מאויתת למעשה r-n-e-d-i-a. ה- R וה- N מוחצים יחד נראים כמו מ '. הדומיין היה לגיטימי, כך שהוא לא היה יכול לאסוף אותו באמצעות מסנן דואר זבל.
2. קבצים מצורפים משכנעים וטקסט גוף
החלק הקשה ביותר בהודעת הדיוג היה שזה נשמע לגיטימי ביותר. רוב הזמן אתה יכול לראות דוא"ל מוצל ממרחק של קילומטר על פי הדמויות המשונות שלו והאנגלית השבורה. אך פישר זה העמיד פנים שהוא מפיק ששלח חתיכת שמע לצוות לצורך עריכה ואישור. יחד עם שם התחום המשכנע, זה נראה אמין מאוד.
3. זיוף דף כניסה דו-שלבי ל- Gmail
זה היה המסובך. אז אחד מהקבצים המצורפים שנשלחו היה PDF ב- Google Docs. כך לפחות נראה. כאשר הקורבן לחץ על הקובץ המצורף, הוא נדרש ממנו להיכנס ל- Google Docs, כפי שאתה צריך לפעמים לעשות גם כשאתה כבר מחובר ל- Gmail (או כך נראה).
והנה החלק החכם.
הדייג יצר דף כניסה מזויף ששלח אמיתי בקשת אימות דו-פקטורית לשרת האמיתי של גוגל, למרות שעמוד ההתחברות היה מזויף לחלוטין. אז הקורבן קיבל הודעת טקסט בדיוק כמו הרגיל, ואז כשתתבקש, הכניס אותו לדף הכניסה המזויף. לאחר מכן השתמש הפישר במידע זה כדי לקבל גישה לחשבון Gmail שלו.
פישט.
אז האם פירוש הדבר כי אימות דו-גורמי נשבר?
אני לא אומר שאימות דו-שלבי אינו עושה את שלו. אני עדיין מרגיש בטוח יותר ובטוח יותר עם הפעלת שני גורמים, ואני הולך להמשיך כך. אבל שמיעת הפרק הזה גרמה לי להבין שאני עדיין פגיע. אז קחו זאת בסיפור זהירות. אל תתבטחו יתר על המידה, ושכבו על אמצעי האבטחה כדי להגן על עצמכם מפני הבלתי נתפס.
אה, אגב, ההאקר הגאון מהסיפור הוא: @DanielBoteanu
האם אתה משתמש באימות דו-שלבי? באילו אמצעי אבטחה אחרים אתה משתמש?
הירשם
YOU MIGHT ALSO LIKE
