86
Visningar
FörbiJack Busch
Senast uppdaterad den
Verifiering i två steg gör ditt Google-konto exponentiellt säkrare. Men du är fortfarande inte oövervinnlig för hackare.
Här på groovyPost driver vi ständigt 2-stegs autentisering som ett sätt att säkra dina onlinekonton. Jag har använt 2-faktors Gmail-autentisering under ganska lång tid och jag måste säga, det får mig att känna mig väldigt säker. För de som inte använder det betyder tvåstegsverifiering att du måste använda ditt lösenord för att logga in och en annan unik kod (vanligtvis skickas via text, telefonsamtal eller en app som Google Authenticator). Det är sant att det är lite ont, men det känns värt det för mig. Jag har faktiskt sett fall där det gynnade ett hackförsök (det vill säga jag fick tvåfaktorstexter på min telefon när jag inte försökte logga in, vilket innebär att någon har angett mitt lösenord korrekt).
Så den andra veckan chockade det mig när jag hörde på svaret alla podcast att en hacker framgångsrikt hade phished någon med två-stegs Gmail-verifiering. Det här var i avsnittet
1. Se lika domännamn
Hackaren hade tillstånd från showens producenter att försöka hacka personalen. Men de hade ingen insideråtkomst till sina servrar. Men det första steget för att pysa sina mål var att förfalska en medarbetares e-postadress. Se, personen vars e-post de bedräglade var:
E-postadressen som phishern använde var den här:
Kan du se skillnaden? Beroende på typsnitt kanske du inte har lagt märke till att ordet "media" i domännamnet faktiskt stavas r-n-e-d-i-a. R och n smushed tillsammans ser ut som en m. Domänen var legitim, så den skulle inte ha hämtats av ett skräppostfilter.
2. Övertygande bilagor och kroppstext
Den svåraste delen av phishing-e-postmeddelandet var att det lät extremt legitimt. För det mesta kan du upptäcka en skuggig e-post från en mil bort av dess konstiga karaktärer och trasiga engelska. Men denna phisher låtsades vara en producent som skickade en bit ljud till ett team för redigering och godkännande. Tillsammans med det övertygande domännamnet verkade det mycket trovärdigt.
3. Fake 2-stegs inloggningssida för Gmail
Detta var den svåra. Så en av de bifogade bilagorna var en PDF i Google Docs. Eller så verkade det. När offret klickade på bilagan uppmanades det att logga in på Google Dokument, som du ibland måste göra även när du redan är inloggad i Gmail (eller så verkar det).
Och här är den smarta delen.
Phishern skapade en falsk inloggningssida som skickade en verklig 2-faktorers autentiseringsbegäran till Googles riktiga server, även om inloggningssidan var helt falsk. Så offret fick ett textmeddelande precis som normalt, och lägg sedan in det på den falska inloggningssidan när du uppmanas. Phishern använde sedan den informationen för att få åtkomst till sitt Gmail-konto.
Nätfiske.
Så betyder det att tvåfaktorsautentisering är trasig?
Jag säger inte att tvåstegsverifiering inte gör jobbet. Jag känner mig fortfarande säkrare och säkrare med 2-faktor aktiverad, och jag kommer att behålla det så. Men att höra detta avsnitt fick mig att inse att jag fortfarande är sårbar. Så anser detta som en försiktighetsberättelse. Bli inte övertro och lägg på säkerhetsåtgärderna för att skydda dig från det otänkbara.
Åh, förresten, den geni hacker från historien är: @DanielBoteanu
Använder du tvåstegs-autentisering? Vilka andra säkerhetsåtgärder använder du?
Prenumerera
YOU MIGHT ALSO LIKE
