Een phisher hackde authenticatie met twee factoren in Gmail - hier is hoe hij het deed

Bij GroovyPost zijn we constant bezig met het pushen van authenticatie in twee stappen om je online accounts te beveiligen. Ik gebruik al geruime tijd authenticatie met 2-factoren Gmail en ik moet zeggen dat ik me er erg veilig door voel. Voor degenen die het niet gebruiken, betekent authenticatie in twee stappen dat u uw wachtwoord moet gebruiken om u aan te melden en een andere unieke code (meestal verzonden via tekst, telefoontje of een app zoals Google Authenticator). Toegegeven, het is een beetje vervelend, maar het voelt me ​​de moeite waard. Ik heb weleens gevallen gezien waarin het een hackpoging belemmerde (dat wil zeggen, ik kreeg 2-factor-teksten op mijn telefoon toen ik niet probeerde in te loggen, wat betekent dat iemand mijn wachtwoord correct heeft ingevoerd).

Dus de andere week schokte het me toen ik op de podcast Iedereen antwoorden hoorde dat een hacker iemand met succes had gefingeerd met behulp van Gmail authenticatie in twee stappen. Dit was in de aflevering getiteld What Kind of Idiot G Phish? Het is een geweldige aflevering, dus ik zal het niet voor je bederven door te vertellen wie de "idioot" was, maar ik zal je een paar van de trucs vertellen die ze gebruikten.

1. Kijk gelijk domeinnamen

De hacker had toestemming van de producenten van de show om te proberen het personeel te hacken. Maar ze hadden geen insider toegang tot hun servers. Maar de eerste stap naar het pwning van hun doelen was het spoofen van het e-mailadres van een collega. Zie, de persoon van wie de e-mail die ze spoofed was:

[email protected]

Het e-mailadres dat de phisher gebruikte was dit:

[email protected]

Kun je het verschil zien? Afhankelijk van het lettertype is het u misschien niet opgevallen dat het woord "media" in de domeinnaam eigenlijk wordt gespeld als r-n-e-d-i-a. De r en de n smushed together zien eruit als een m. Het domein was legitiem, dus het zou niet zijn opgepikt door een spamfilter.

2. Overtuigende bijlagen en hoofdtekst

Het lastigste deel van de phishing-e-mail was dat het extreem legitiem klonk. Meestal zie je een schaduwrijke e-mail van een mijl verderop door zijn rare karakters en gebroken Engels. Maar deze phisher deed zich voor als een producent die een stuk audio naar een team stuurde voor bewerking en goedkeuring. In combinatie met de overtuigende domeinnaam leek het erg geloofwaardig.

3. Nep 2-staps Gmail-aanmeldingspagina

Dit was de lastige. Een van de verzonden bijlagen was dus een pdf in Google Docs. Of zo leek het. Toen het slachtoffer op de bijlage klikte, werd hem gevraagd om in te loggen bij Google Documenten, zoals u soms ook moet doen als u al bent aangemeld bij Gmail (of zo lijkt het).

En hier is het slimme deel.

De phisher heeft een valse aanmeldingspagina gemaakt die een a echt 2-factor authenticatie verzoek naar de echte server van Google, ook al was de inlogpagina volledig nep. Het slachtoffer kreeg dus een sms-bericht zoals normaal, en toen het werd gevraagd, legde het op de valse inlogpagina. De phisher gebruikte die informatie vervolgens om toegang te krijgen tot hun Gmail-account.

phishing.

Dus dit betekent dat authenticatie met 2 factoren is verbroken?

Ik zeg niet dat authenticatie in twee stappen zijn werk niet doet. Ik voel me nog steeds veiliger en veiliger met 2-factor ingeschakeld, en dat ga ik zo houden. Maar door deze episode te horen, realiseerde ik me dat ik nog steeds kwetsbaar ben. Dus, beschouw dit als een waarschuwend verhaal. Zorg dat je niet overmoedig wordt en pas de beveiligingsmaatregelen aan om jezelf te beschermen tegen het onvoorstelbare.

Oh, trouwens, de geniale hacker uit het verhaal is: @DanielBoteanu

Gebruikt u authenticatie in twee stappen? Welke andere beveiligingsmaatregelen gebruikt u??