传奇黑客凯文·米特尼克找到绕过双重验证方法,务必小心钓鱼网站

双重验证(2FA)几乎是当下最靠谱的账户安全保护措施了,但传奇黑客 凯文·米特尼克 却发现了一个新的安全漏洞,通过向用户发送钓鱼登录页面,然后窃取用户名、密码和会话 cookie,就可以绕过双重验证。

这位 15 岁就成功入侵北美防空指挥系统的 KnowBe4 首席黑客官(CHO)在一段公开的视频中演示了如何进行入侵。他通过诱导受害者访问类似于“LunkedIn.com”这样容易与知名网站混淆的域名,记录用户名、密码和双重验证码,便可以获取相关信息以及 cookie 文件。一旦完成这个步骤,黑客就可以直接登录受害者的帐号,让双重验证形同虚设。

“凯文的一位白帽黑客朋友开发了一种工具,可以借助社工手法绕过双重认证——并且这种手法可以用在任何网站上,”KnowBe4 首席执行官斯图·斯约维曼(Stu Sjouwerman)说。“双重验证确实比用户名+密码更安全一些,但在这种情况下,我们清楚地看到,你无法仅仅依靠双重身份验证来保护你的帐号。”

白帽黑客库巴·格雷茨基(Kuba Gretzky)创建了一个名为 evilginx 的系统,并在网站上的 一篇文章 中详细描述了整个侵入过程。

斯约维曼指出,反钓鱼教育非常重要,如果受害者对网络安全以及点击电子邮箱中某个恶意链接的危险性了如指掌的话,诸如此类的黑客攻击是不可能完成的。为了验证这一点,斯约维曼给我发了一封电子邮件,看上去好像是我的同事发来的,内容是讨论某篇文章中的错别字。但其实发件人并不是我同事本人,是用 Sendgrid(一个群发邮件服务)仿造的假收件人地址。而且这个连接看似是 TechCrunch,实际上是 Sendgrid 的链接。演示里他们好心地给我跳转到了正牌网站,但是在网络黑产那里就没这样的好事了,任何更加恶劣的情况都有可能发生。

斯约维曼说:“网络钓鱼的模拟证明了开展网络安全意识教育的重要性,因为安全的最后一道防线说到底都是人自己。”他估计黑客会在未来几周内开始尝试这种新手法,因此敦促用户和 IT 部门强化安全协议。

【视频】:New Exploit Hacks LinkedIn 2-factor Authentication

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏机器之心

专栏 | 如何在抖音上找到漂亮小姐姐?这里有个Python抖音机器人

2463
来自专栏企鹅号快讯

黑客术语基础知识快速了解

1.肉鸡:所谓“肉鸡”是一种很形象的比方,比方那些能够随意被我们操控的电脑,对方可所以Windows体系,也可所以UNIX/Linux体系,可所以一般的个人电脑...

41810
来自专栏FreeBuf

走近科学 | 伪基站诈骗分析

本文原创作者:Praise(漏洞盒子白帽子) 一、简介 先来说说伪基站:即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取...

2769
来自专栏不想当开发的产品不是好测试

fiddler mock ==> AutoResponder

背景 做过测试的同学,肯定都听过fiddler的大名,抓包工具,app抓包 下载传送门(https://www.telerik.com/download/fid...

2866
来自专栏逸鹏说道

Android 5.0屏幕录制漏洞(CVE-2015-3878)威胁预警

0x00 摘要 低技术门槛的漏洞利用或木马制作隐藏着极大的安全威胁,当这种安全威胁遇上手机用户的低安全意识时可能导致Android平台恶意软件的大规模爆发。36...

3706
来自专栏信安之路

打造属于自己的 Wi-Fi “DOS” 攻击工具——Wi-Fi_deauther

一块不起眼的板子,可能在一些人眼中他就没有利用价值,而另一些人却看到了不一样的板子,当我们赋予了他新的生命力,他就会焕然一新,工具的价值取决于人,当你赋予了他什...

2112
来自专栏FreeBuf

WanaCrypt0r“想哭”勒索蠕虫数据恢复可行性分析报告

目录 第一章 前言… 第二章 加密文件核心流程分析… 第三章 数据恢复可行性分析… 第四章 总结… 第一章 前言 近日,360互联网安全中心发现全球多个国家和地...

2156
来自专栏云上大文件传输

腾讯云海外数据中心到腾讯云广州-文件传输对比评测集合

近日,我们针对腾讯云海外各数据中心到腾讯云广州,做了一系列大文件传输对比评测。

3526
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-5 SA38创建演示数据-模拟银行对账单和客户未清项以处理电子银行对账单

2.3.5 SA38模拟银行对账单和客户未清项以处理电子银行对账单 以下示例描述了如何模拟银行对账单和相应的客户未清项。 已创建客户主数据。 总账科目主数据已维...

3229
来自专栏腾讯云安全的专栏

云服务首要威胁分析:用户如何保护自己的资产?

随着云计算技术的逐渐成熟,云服务凭借高效的管理模式、便捷的使用方式和灵活的付费方式受到了企业、政府、个人用户的青睐。然而,巨大的市场背后也对云服务商的运营、...

1942

扫码关注云+社区

领取腾讯云代金券