双重验证(2FA)几乎是当下最靠谱的账户安全保护措施了,但传奇黑客 凯文·米特尼克 却发现了一个新的安全漏洞,通过向用户发送钓鱼登录页面,然后窃取用户名、密码和会话 cookie,就可以绕过双重验证。
这位 15 岁就成功入侵北美防空指挥系统的 KnowBe4 首席黑客官(CHO)在一段公开的视频中演示了如何进行入侵。他通过诱导受害者访问类似于“LunkedIn.com”这样容易与知名网站混淆的域名,记录用户名、密码和双重验证码,便可以获取相关信息以及 cookie 文件。一旦完成这个步骤,黑客就可以直接登录受害者的帐号,让双重验证形同虚设。
“凯文的一位白帽黑客朋友开发了一种工具,可以借助社工手法绕过双重认证——并且这种手法可以用在任何网站上,”KnowBe4 首席执行官斯图·斯约维曼(Stu Sjouwerman)说。“双重验证确实比用户名+密码更安全一些,但在这种情况下,我们清楚地看到,你无法仅仅依靠双重身份验证来保护你的帐号。”
白帽黑客库巴·格雷茨基(Kuba Gretzky)创建了一个名为 evilginx 的系统,并在网站上的 一篇文章 中详细描述了整个侵入过程。
斯约维曼指出,反钓鱼教育非常重要,如果受害者对 *** 安全以及点击电子邮箱中某个恶意链接的危险性了如指掌的话,诸如此类的黑客攻击是不可能完成的。为了验证这一点,斯约维曼给我发了一封电子邮件,看上去好像是我的同事发来的,内容是讨论某篇文章中的错别字。但其实发件人并不是我同事本人,是用 Sendgrid(一个群发邮件服务)仿造的假收件人地址。而且这个连接看似是 TechCrunch,实际上是 Sendgrid 的链接。演示里他们好心地给我跳转到了正牌网站,但是在 *** 黑产那里就没这样的好事了,任何更加恶劣的情况都有可能发生。
斯约维曼说:“ *** 钓鱼的模拟证明了开展 *** 安全意识教育的重要性,因为安全的最后一道防线说到底都是人自己。”他估计黑客会在未来几周内开始尝试这种新手法,因此敦促用户和 IT 部门强化安全协议。
智能手机已经成为了大家生活必备的电子产品,大家使用的频率也越来越高。然而让大家都很尴尬的是刚买的手机使用体验非常流畅,过了几个月或者半年,手机越用越慢、越来越卡! 那么问题来了:手机越用越慢、越来越...
首先你和商家心平气和的进行谈判,一定不能说脏话骂人,这个在接下来有很大的作用。如果商家愿意退货或者是退款的话,那就好,如果他不愿意并且各种理由拖延时间超过三天了,马上介入淘宝客服,上传证据说明产品...
1、先让搜索引擎知道你的网站 网站建设以后,新网站上线,首先得让搜索引擎知道你网站的存在,让搜索引擎短期内收录网站。每个搜索引擎都有一个网站提交入口,提交网址即可。 2、开通搜索引擎付费推广渠...
随着年龄的增长人们眼部出现细纹是在所难免的现象,但是作为女人却对眼部皱纹存有严重的恐惧心理。女性一旦开始衰老,眼角纹一定是最先表现出来的特征,所以想要保住自己年轻的面容,就一定要保住眼部的光滑无暇,那...
穿衣搭配:黑色因为百搭,所以每个仙女的衣橱里都少不了一件黑色裤子。那么,黑色裤子配什么颜色上衣才好看呢?颜色搭配有技巧,一起来看看吧~ 夏季最简洁的穿搭法,黑色V领T恤搭配黑色裤子、黑色鞋子,形成整...
难度:切墩(初级)时间:1小时以上主料 高筋特精粉(酵头)150克白糖(酵头)15克酵母(酵头)3克水(酵头)120克高筋特精粉(主面团)150克植物油(主面团)25克鸡蛋(主面团)1个盐(主面团...