En Phisher hackad Gmails tvåfaktorautentisering - så här gjorde han det
Så den andra veckan chockade jag mig när jag hörde på svaret Alla podcaster att en hacker hade lyckats fira någon med 2-stegs Gmail-verifiering. Det här var i avsnittet "Vilken typ av idiot får Phished?" Det är ett bra avsnitt, så jag kommer inte förstöra det för dig genom att berätta för vem "idiot" var, men jag kommer att berätta några av de knep de använde.
1. Se lika domännamn
Hackaren hade tillstånd från showens producenter att försöka hacka personalen. Men de hade inte någon insider åtkomst till sina servrar. Men det första steget att pwning sina mål var spoofing en medarbetares e-postadress. Se, personen vars e-post de spoofed var:
Den e-postadress som phishern använde var detta:
Kan du säga skillnaden? Beroende på teckensnittet har du kanske inte märkt att ordet "media" i domännamnet faktiskt stavas r-n-e-d-i-a. R och n sönder ihop ser ut som en m. Domänen var legitim, så det skulle inte ha blivit upptaget av ett spamfilter.
2. Övertygande bilagor och kroppstext
Den svåraste delen av phishing-e-postmeddelandet var att det lät extremt legit. För det mesta kan du fånga en skuggig e-post från en mil bort med sina konstiga tecken och brutna engelska. Men denna phisher låtsades vara en producent som skickade ett ljud till ett lag för redigering och godkännande. Tillsammans med det övertygande domännamnet verkade det mycket trovärdigt.
3. Fake 2-stegs Gmail-inloggningssida
Detta var den knepiga. Så, ett av bifogade bilagorna var en PDF-fil i Google Dokument. Eller så verkade det. När offret klickade på bilagan fick det dem att logga in på Google Dokument, vilket du ibland måste göra även när du är inloggad i Gmail redan (eller så verkar det).
Och här är den kloka delen.
Phisher skapade en falsk inloggningssida som skickade en verklig 2-faktor autentiseringsbegäran till Googles verkliga server, trots att inloggningssidan var helt falsk. Så fick offeret ett textmeddelande som normalt, och sedan, när du blir ombedd, lägg den in i den falska inloggningssidan. Phisher använde sedan den informationen för att få åtkomst till sitt Gmail-konto.
nätfiske.
Så betyder det att 2-faktor-autentisering är trasig?
Jag säger inte att 2-stegs autentisering inte gör sitt jobb. Jag känner mig fortfarande säkrare och säkrare med 2-faktor aktiverad, och jag kommer att behålla det på så sätt. Men att höra detta avsnitt fick mig att inse att jag fortfarande är sårbar. Så, betrakta detta som en försiktighetshistoria. Bli inte övertygad, och lägg på säkerhetsåtgärderna för att skydda dig från det ofattbara.
Åh, förresten, är genialhackern från historien: @DanielBoteanu
Använder du 2-stegs autentisering? Vilka andra säkerhetsåtgärder använder du?