www.53381yhb.cn-精品久久亚洲高清不卡,未满十八18禁止免费无码网站,小荡货奶真大水多好紧视频,最近中文字幕高清中文字幕无

<fieldset id="uu6o0"><menu id="uu6o0"></menu></fieldset>
    • <strike id="uu6o0"><input id="uu6o0"></input></strike>
        <strike id="uu6o0"></strike>

        技術(shù)前沿

        雙因素身份驗證黑客攻擊假電子郵件

        2019-09-16 航天藍(lán)西 289

        正如黑客演示所示,可以擊敗雙因素身份驗證。人們關(guān)注的是一個視頻發(fā)布,其中KnownBe4首席黑客官員Kevin Mitnick透露了雙因素漏洞。

        雙因素身份驗證是“一個額外的安全層,需要員工HAS和他們所知道的東西。”

        “這次攻擊的核心是一個網(wǎng)絡(luò)釣魚郵件,在這種情況下,一個據(jù)稱是由LinkedIn發(fā)送給一個成員,表示有人試圖在社交網(wǎng)絡(luò)上與他們聯(lián)系,” SC雜志的 Doug Olenick說。

        用戶獲取虛假登錄頁面。這種攻擊方法在安全用語中被描述為憑證網(wǎng)絡(luò)釣魚技術(shù),它需要使用拼寫錯誤的域名。這個想法是讓用戶放棄他/她的憑據(jù)。凱文的白帽黑客朋友開發(fā)了旨在繞過雙因素身份驗證的工具。

        在這種攻擊中,拼寫錯誤的域名是什么意思?這是一個技巧,“蹲”反映了它如何在另一個實體上進(jìn)行網(wǎng)絡(luò)搶斷。使用故意錯誤字母地址及其印刷錯誤工廠的互聯(lián)網(wǎng)用戶可能會被引導(dǎo)到黑客運行的替代網(wǎng)站。

        通過虛假的Linked-In電子郵件,Mitnick在登錄他的Gmail帳戶時展示了這一切是如何運作的。

        PCMag的英國編輯和新聞記者M(jìn)atthew Humphries 在攻擊中說,有關(guān)該網(wǎng)站被定位的電子郵件似乎沒有,“所以收件人不會花時間檢查它發(fā)送的域名。”

        在這種情況下,電子郵件來自llnked.com而不是linkedin .com- 如果你不在尋找虛假的游戲,很容易錯過。單擊電子郵件中的“感興趣”按鈕會將用戶帶到一個看起來就像LinkedIn登錄頁面的網(wǎng)站。總而言之,米特尼克表示,僅僅通過將他們重定向到一個看起來像LinkedIn的網(wǎng)站并使用2FA對他們來竊取他們的登錄憑據(jù)和網(wǎng)站訪問,并不是那么難以繼續(xù)并獲得LinkedIn用戶的詳細(xì)信息。亨弗里斯。

        該演示使用LinkedIn作為示例,但它可以在谷歌,F(xiàn)acebook和其他任何帶有雙因素登錄的東西上使用; 報道說這個工具可以為幾乎任何網(wǎng)站“武器化”。

        有趣的是,去年Russell Brandom在The Verge中表示,在參考雙因素身份驗證時,“是時候?qū)ζ湎拗七M(jìn)行誠實了” 。Brandom講述了雙因素的承諾如何在惡作劇制造者繞過它的時候開始解開。他說,“很明顯,大多數(shù)雙因素系統(tǒng)都不能與高級用戶對抗。”

        盡管如此,他說,在大多數(shù)情況下,問題本身不是雙因素。這是“它周圍的一切。如果你可以突破那個雙因素登錄旁邊的任何東西 - 無論是帳戶恢復(fù)流程,可信設(shè)備還是底層運營商帳戶 - 那么你就可以免費回家了。”

        然而,提出了一條明顯的建議,即對鏈接保持警惕。此外,關(guān)于什么是雙因素身份驗證的觀點是有用的。它比基本密碼機制更緊湊。這是一個額外的安全層。但正如KnowBe4首席執(zhí)行官Stu Sjouwerman所說:“雙因素身份驗證旨在成為額外的安全層,但在這種情況下,我們清楚地看到您不能單獨依賴它來保護(hù)您的組織。”


        成人国产一区二区三区精品| 久久亚洲色一区二区三区| 911久久香蕉国产线| yy6080新视觉影院| 狠狠色丁香久久婷婷综合| 成全我在线观看免费第二季| 国产综合另类小说色区色噜噜| 亚洲国产精品一区二区第一页| 久久天天躁狠狠躁夜夜躁2014| 亚洲国产精品VA在线看黑人|