传奇黑客找到绕过双重验证方法，务必小心钓鱼网站

2018-05-14 15:16:21 来源：51CTO抢沙发

2018-05-14 15:16:21 来源：51CTO

摘要：双重验证（2FA）几乎是当下最靠谱的账户安全保护措施了，但传奇黑客凯文·米特尼克却发现了一个新的安全漏洞，通过向用户发送钓鱼登录页面，然后窃取用户名、密码和会话 cookie，就可以绕过双重验证。
关键词：黑客传奇方法

　　双重验证（2FA）几乎是当下最靠谱的账户安全保护措施了，但传奇黑客凯文·米特尼克却发现了一个新的安全漏洞，通过向用户发送钓鱼登录页面，然后窃取用户名、密码和会话 cookie，就可以绕过双重验证。

　　这位 15 岁就成功入侵北美防空指挥系统的 KnowBe4 首席黑客官（CHO）在一段公开的视频中演示了如何进行入侵。他通过诱导受害者访问类似于“LunkedIn.com”这样容易与知名网站混淆的域名，记录用户名、密码和双重验证码，便可以获取相关信息以及 cookie 文件。一旦完成这个步骤，黑客就可以直接登录受害者的帐号，让双重验证形同虚设。

　　“凯文的一位白帽黑客朋友开发了一种工具，可以借助社工手法绕过双重认证——并且这种手法可以用在任何网站上，”KnowBe4 首席执行官斯图·斯约维曼（Stu Sjouwerman）说。“双重验证确实比用户名+密码更安全一些，但在这种情况下，我们清楚地看到，你无法仅仅依靠双重身份验证来保护你的帐号。”

　　白帽黑客库巴·格雷茨基（Kuba Gretzky）创建了一个名为 evilginx 的系统，并在网站上的一篇文章中详细描述了整个侵入过程。

　　斯约维曼指出，反钓鱼教育非常重要，如果受害者对网络安全以及点击电子邮箱中某个恶意链接的危险性了如指掌的话，诸如此类的黑客攻击是不可能完成的。为了验证这一点，斯约维曼给我发了一封电子邮件，看上去好像是我的同事发来的，内容是讨论某篇文章中的错别字。但其实发件人并不是我同事本人，是用 Sendgrid（一个群发邮件服务）仿造的假收件人地址。而且这个连接看似是 TechCrunch，实际上是 Sendgrid 的链接。演示里他们好心地给我跳转到了正牌网站，但是在网络黑产那里就没这样的好事了，任何更加恶劣的情况都有可能发生。

　　斯约维曼说：“网络钓鱼的模拟证明了开展网络安全意识教育的重要性，因为安全的最后一道防线说到底都是人自己。”他估计黑客会在未来几周内开始尝试这种新手法，因此敦促用户和 IT 部门强化安全协议。

第三十八届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

责编：kongwen

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。