Hemsida » unplugged » En Phisher hackad Gmails tvåfaktorautentisering - så här gjorde han det

    En Phisher hackad Gmails tvåfaktorautentisering - så här gjorde han det

    Här på groovyPost driver vi ständigt 2-stegs autentisering som ett sätt att säkra dina onlinekonton. Jag har använt 2-faktor Gmail-autentisering i ganska lång tid och jag måste säga att det känns mig väldigt säkert. För de som inte använder den innebär 2-stegs autentisering att du måste använda ditt lösenord för att logga in och en annan unik kod (vanligtvis skickad via text, telefonsamtal eller en app som Google Authenticator). Det är sant, det är lite av smärta, men det känns värt det för mig. Jag har faktiskt sett instanser där det stymied ett hackingförsök (det vill säga jag fick 2-faktor texter på min telefon när jag inte försökte logga in, vilket innebär att någon har skrivit in mitt lösenord).

    Så den andra veckan chockade jag mig när jag hörde på svaret Alla podcaster att en hacker hade lyckats fira någon med 2-stegs Gmail-verifiering. Det här var i avsnittet "Vilken typ av idiot får Phished?" Det är ett bra avsnitt, så jag kommer inte förstöra det för dig genom att berätta för vem "idiot" var, men jag kommer att berätta några av de knep de använde.

    1. Se lika domännamn

    Hackaren hade tillstånd från showens producenter att försöka hacka personalen. Men de hade inte någon insider åtkomst till sina servrar. Men det första steget att pwning sina mål var spoofing en medarbetares e-postadress. Se, personen vars e-post de spoofed var:

    [email protected]

    Den e-postadress som phishern använde var detta:

    [email protected]

    Kan du säga skillnaden? Beroende på teckensnittet har du kanske inte märkt att ordet "media" i domännamnet faktiskt stavas r-n-e-d-i-a. R och n sönder ihop ser ut som en m. Domänen var legitim, så det skulle inte ha blivit upptaget av ett spamfilter.

    2. Övertygande bilagor och kroppstext

    Den svåraste delen av phishing-e-postmeddelandet var att det lät extremt legit. För det mesta kan du fånga en skuggig e-post från en mil bort med sina konstiga tecken och brutna engelska. Men denna phisher låtsades vara en producent som skickade ett ljud till ett lag för redigering och godkännande. Tillsammans med det övertygande domännamnet verkade det mycket trovärdigt.

    3. Fake 2-stegs Gmail-inloggningssida

    Detta var den knepiga. Så, ett av bifogade bilagorna var en PDF-fil i Google Dokument. Eller så verkade det. När offret klickade på bilagan fick det dem att logga in på Google Dokument, vilket du ibland måste göra även när du är inloggad i Gmail redan (eller så verkar det).

    Och här är den kloka delen.

    Phisher skapade en falsk inloggningssida som skickade en verklig 2-faktor autentiseringsbegäran till Googles verkliga server, trots att inloggningssidan var helt falsk. Så fick offeret ett textmeddelande som normalt, och sedan, när du blir ombedd, lägg den in i den falska inloggningssidan. Phisher använde sedan den informationen för att få åtkomst till sitt Gmail-konto.

    nätfiske.

    Så betyder det att 2-faktor-autentisering är trasig?

    Jag säger inte att 2-stegs autentisering inte gör sitt jobb. Jag känner mig fortfarande säkrare och säkrare med 2-faktor aktiverad, och jag kommer att behålla det på så sätt. Men att höra detta avsnitt fick mig att inse att jag fortfarande är sårbar. Så, betrakta detta som en försiktighetshistoria. Bli inte övertygad, och lägg på säkerhetsåtgärderna för att skydda dig från det ofattbara.

    Åh, förresten, är genialhackern från historien: @DanielBoteanu

    Använder du 2-stegs autentisering? Vilka andra säkerhetsåtgärder använder du?