Кевин Митник продемонстрировал возможность обхода двухфакторной аутентификации
Новости
Ведущий специалист антифишинговой платформы KnowBe4, Кевин Митник, продемонстрировал способ обхода двухфакторной авторизации (2FA), позволяющий получить полный доступ к аккаунту неосторожной жертвы.
7К открытий7К показов
Брешь в системе безопасности обнаружил ведущий специалист по компьютерному взлому компании KnowBe4, Кевин Митник (Kevin Mitnick). Новый эксплойт позволяет обойти защиту с двухфакторной аутентификацией (2FA). Злоумышленник может направить пользователя на поддельную страницу авторизации, таким образом получив доступ к логину, паролю и cookie сессии.
Надёжность защиты 2FA под вопросом
«Этичный хакер» Куба Грецки (Kuba Gretzky) разработал инструмент evilginx, позволяющий обойти двухфакторную аутентификацию. Система использует принципы социальной инженерии, и может быть направлена против любого сайта.
Принцип работы метода взлома заключается в следующем: хакер направляет жертве сайт с ложным адресом (например, fasebook.com вместо facebook.com или llnkedin.com вместо linkedin.com), убеждает её ввести логин, пароль и одноразовый код аутентификации, а далее передаёт данные на реальный сайт и получает cookie сессии. Обладая данной информацией, злоумышленник может входить в систему под аккаунтом жертвы в любое время.
Опубликован короткий видеоролик с демонстрацией эксплойта:
По словам Сту Сьювермана (Stu Sjouwerman), исполнительного директора KnowBe4, система 2FA была разработана как дополнительный уровень защиты, но данный случай показывает, что полностью на неё полагаться нельзя. Он также отметил, что антифишинговое обучение персонала крайне важно для защиты от таких методов взлома. Подобный взлом нельзя совершить, если жертва, осознавая опасность, не будет переходить по ссылке из электронного письма. При этом Сьюверман предупредил о том, что в ближайшие недели хакеры могут начать активно использовать эту уязвимость, и порекомендовал усилить меры безопасности.
Ранее мы уже писали о технологии 2FA, и в списке уязвимостей фишинг стоял на первом месте. Впрочем, слабым звеном здесь выступает всё же человек, а не машина. Во многих других случаях система двухфакторной аутентификации вполне надёжна.
7К открытий7К показов