Хакеры научились обходить двухфакторную аутентификацию
Человеческий фактор способен разрушить любые технологии безопасности. Так что будь всегда начеку, никому не верь, живи один в лесу.
Если ты используешь пароль welcome для всех своих сервисов, то дальше лучше не читай. Большая часть статьи покажется глупой озабоченностью своей кибербезопасностью.
А все остальные - те, кто боятся лишиться электронной почты, документов и фотографий, - должны быть знакомы с принципом 2FA (двухфакторной аутентификации).
Работает он следующим образом: после ввода твоего логина и пароля у тебя запрашивают еще один код. Как правило, это 6-значное число, которое генерируется на другом устройстве - смартфоне или небольшом ключе-токене. Такие пароли меняются раз в 30 секунд, и отследить их практически невозможно. Участие дополнительного устройства в процессе аутентификации и называют вторым фактором.
До последнего времени защита аккаунтов с 2FA считалась практически непробиваемой. Но международная организация Amnesty International опубликовала отчет, в котором говорится, что хакеры все-таки нашли управу на 2FA.
Множество таких атак произошло на журналистов и активистов на Ближнем Востоке и в Северной Африке. Все оказалось достаточно просто: в бой пошли старые добрые MIM-технологии (man in the middle). Жертвам подсовывали липовые странички аутентификации в Google-почту, в том числе такие же для ввода 2FA-пароля.
Действовала схема так: на электронные адреса присылалось уведомление якобы от самого Google о том, что аккаунт пользователя скомпрометирован и ему срочно нужно сменить пароль. К письму прилагалась ссылка, которая и вела на фишинговый сайт хакеров.
Причем фейковая страница транслировала данные пользователя на настоящие формы логина и пароля, и система честно высылала 2FA-пароль, который пользователь вводил на липовой странице.
Специалисты Amnesty International все еще рекомендуют использовать 2FA-аутентификацию. Описанный метод довольно затратный, и он вряд ли будет использован для того, чтобы украсть твой уникальный репортаж с шашлыков.
Но если хакерам удастся умело автоматизировать процесс, то даже опытным пользователям придется нелегко.
Почувствовать себя в полной кибербезопасности можно, только окончательно на все плюнув и установив универсальный пароль welcome.
Взято тут.