Een phisher hackde authenticatie met twee factoren in Gmail - hier is hoe hij het deed
Dus de andere week schokte het me toen ik op de podcast Iedereen antwoorden hoorde dat een hacker iemand met succes had gefingeerd met behulp van Gmail authenticatie in twee stappen. Dit was in de aflevering getiteld What Kind of Idiot G Phish? Het is een geweldige aflevering, dus ik zal het niet voor je bederven door te vertellen wie de "idioot" was, maar ik zal je een paar van de trucs vertellen die ze gebruikten.
1. Kijk gelijk domeinnamen
De hacker had toestemming van de producenten van de show om te proberen het personeel te hacken. Maar ze hadden geen insider toegang tot hun servers. Maar de eerste stap naar het pwning van hun doelen was het spoofen van het e-mailadres van een collega. Zie, de persoon van wie de e-mail die ze spoofed was:
Het e-mailadres dat de phisher gebruikte was dit:
Kun je het verschil zien? Afhankelijk van het lettertype is het u misschien niet opgevallen dat het woord "media" in de domeinnaam eigenlijk wordt gespeld als r-n-e-d-i-a. De r en de n smushed together zien eruit als een m. Het domein was legitiem, dus het zou niet zijn opgepikt door een spamfilter.
2. Overtuigende bijlagen en hoofdtekst
Het lastigste deel van de phishing-e-mail was dat het extreem legitiem klonk. Meestal zie je een schaduwrijke e-mail van een mijl verderop door zijn rare karakters en gebroken Engels. Maar deze phisher deed zich voor als een producent die een stuk audio naar een team stuurde voor bewerking en goedkeuring. In combinatie met de overtuigende domeinnaam leek het erg geloofwaardig.
3. Nep 2-staps Gmail-aanmeldingspagina
Dit was de lastige. Een van de verzonden bijlagen was dus een pdf in Google Docs. Of zo leek het. Toen het slachtoffer op de bijlage klikte, werd hem gevraagd om in te loggen bij Google Documenten, zoals u soms ook moet doen als u al bent aangemeld bij Gmail (of zo lijkt het).
En hier is het slimme deel.
De phisher heeft een valse aanmeldingspagina gemaakt die een a echt 2-factor authenticatie verzoek naar de echte server van Google, ook al was de inlogpagina volledig nep. Het slachtoffer kreeg dus een sms-bericht zoals normaal, en toen het werd gevraagd, legde het op de valse inlogpagina. De phisher gebruikte die informatie vervolgens om toegang te krijgen tot hun Gmail-account.
phishing.
Dus dit betekent dat authenticatie met 2 factoren is verbroken?
Ik zeg niet dat authenticatie in twee stappen zijn werk niet doet. Ik voel me nog steeds veiliger en veiliger met 2-factor ingeschakeld, en dat ga ik zo houden. Maar door deze episode te horen, realiseerde ik me dat ik nog steeds kwetsbaar ben. Dus, beschouw dit als een waarschuwend verhaal. Zorg dat je niet overmoedig wordt en pas de beveiligingsmaatregelen aan om jezelf te beschermen tegen het onvoorstelbare.
Oh, trouwens, de geniale hacker uit het verhaal is: @DanielBoteanu
Gebruikt u authenticatie in twee stappen? Welke andere beveiligingsmaatregelen gebruikt u??