双重验证(2FA)几乎是当下最靠谱的账户安全保护措施了,但传奇黑客 凯文·米特尼克 却发现了一个新的安全漏洞,通过向用户发送钓鱼登录页面,然后窃取用户名、密码和会话 cookie,就可以绕过双重验证。
这位 15 岁就成功入侵北美防空指挥系统的 KnowBe4 首席黑客官(CHO)在一段公开的视频中演示了如何进行入侵。他通过诱导受害者访问类似于“LunkedIn.com”这样容易与知名网站混淆的域名,记录用户名、密码和双重验证码,便可以获取相关信息以及 cookie 文件。一旦完成这个步骤,黑客就可以直接登录受害者的帐号,让双重验证形同虚设。
“凯文的一位白帽黑客朋友开发了一种工具,可以借助社工手法绕过双重认证——并且这种手法可以用在任何网站上,”KnowBe4 首席执行官斯图·斯约维曼(Stu Sjouwerman)说。“双重验证确实比用户名+密码更安全一些,但在这种情况下,我们清楚地看到,你无法仅仅依靠双重身份验证来保护你的帐号。”
白帽黑客库巴·格雷茨基(Kuba Gretzky)创建了一个名为 evilginx 的系统,并在网站上的 一篇文章 中详细描述了整个侵入过程。
斯约维曼指出,反钓鱼教育非常重要,如果受害者对 *** 安全以及点击电子邮箱中某个恶意链接的危险性了如指掌的话,诸如此类的黑客攻击是不可能完成的。为了验证这一点,斯约维曼给我发了一封电子邮件,看上去好像是我的同事发来的,内容是讨论某篇文章中的错别字。但其实发件人并不是我同事本人,是用 Sendgrid(一个群发邮件服务)仿造的假收件人地址。而且这个连接看似是 TechCrunch,实际上是 Sendgrid 的链接。演示里他们好心地给我跳转到了正牌网站,但是在 *** 黑产那里就没这样的好事了,任何更加恶劣的情况都有可能发生。
斯约维曼说:“ *** 钓鱼的模拟证明了开展 *** 安全意识教育的重要性,因为安全的最后一道防线说到底都是人自己。”他估计黑客会在未来几周内开始尝试这种新手法,因此敦促用户和 IT 部门强化安全协议。
菜鸟学习初级教程—–强烈推荐(看完后成黑客拉) 第一篇 看完的人10个有9个成了黑客 看完的人10个有9个成了黑客 还有一个是BC 然而看完的人 视力全下降1度 黑客的基本技能 1、黑...
据特征提取室验室信息,比特币钱包Electrum的客户现阶段正遭遇互联网中间人攻击。 网络黑客根据故意网络服务器向Electrum手机客户端广播...
怎样同步偷偷老公微信(怎么同步老婆的微信不被发现),我想非常多人都有如许的繁难,当他们的家庭首先有收入,变得比较敷裕时,他们的丈夫老是会花非常多光阴在...
菜鸟学习初级教程—–强烈推荐(看完后成黑客拉) 第一篇 看完的人10个有9个成了黑客 看完的人10个有9个成了黑客 还有一个是BC 然而看完的人 视力全下降1度 黑客的基本技能 1、黑...
手机微信如今基本上是每个人都会玩的一个交友聊天服务平台,更是沟通交流的方便快捷,造成有这种群体要想用自身手机查媳妇的微信聊天纪录,那麼这招也许是一个好...
如果一定要我说,我看过一点有关内核的东西,想说的是QQ在密码防盗这块做得已经相当不错了,所以现在什么键盘记录想去偷QQ密码是很难的,不像许多年前什么灰鸽子?就算中了木马,也没法的,QQ的输入密码直接会...