正如黑客演示所示，可以擊敗雙因素身份驗證。人們關(guān)注的是一個視頻發(fā)布，其中KnownBe4首席黑客官員Kevin Mitnick透露了雙因素漏洞。

雙因素身份驗證是“一個額外的安全層，需要員工HAS和他們所知道的東西。”

“這次攻擊的核心是一個網(wǎng)絡(luò)釣魚郵件，在這種情況下，一個據(jù)稱是由LinkedIn發(fā)送給一個成員，表示有人試圖在社交網(wǎng)絡(luò)上與他們聯(lián)系，” SC雜志的 Doug Olenick說。

用戶獲取虛假登錄頁面。這種攻擊方法在安全用語中被描述為憑證網(wǎng)絡(luò)釣魚技術(shù)，它需要使用拼寫錯誤的域名。這個想法是讓用戶放棄他/她的憑據(jù)。凱文的白帽黑客朋友開發(fā)了旨在繞過雙因素身份驗證的工具。

在這種攻擊中，拼寫錯誤的域名是什么意思?這是一個技巧，“蹲”反映了它如何在另一個實體上進(jìn)行網(wǎng)絡(luò)搶斷。使用故意錯誤字母地址及其印刷錯誤工廠的互聯(lián)網(wǎng)用戶可能會被引導(dǎo)到黑客運行的替代網(wǎng)站。

通過虛假的Linked-In電子郵件，Mitnick在登錄他的Gmail帳戶時展示了這一切是如何運作的。

PCMag的英國編輯和新聞記者M(jìn)atthew Humphries 在攻擊中說，有關(guān)該網(wǎng)站被定位的電子郵件似乎沒有，“所以收件人不會花時間檢查它發(fā)送的域名。”

在這種情況下，電子郵件來自llnked.com而不是linkedin .com- 如果你不在尋找虛假的游戲，很容易錯過。單擊電子郵件中的“感興趣”按鈕會將用戶帶到一個看起來就像LinkedIn登錄頁面的網(wǎng)站。總而言之，米特尼克表示，僅僅通過將他們重定向到一個看起來像LinkedIn的網(wǎng)站并使用2FA對他們來竊取他們的登錄憑據(jù)和網(wǎng)站訪問，并不是那么難以繼續(xù)并獲得LinkedIn用戶的詳細(xì)信息。亨弗里斯。

該演示使用LinkedIn作為示例，但它可以在谷歌，F(xiàn)acebook和其他任何帶有雙因素登錄的東西上使用; 報道說這個工具可以為幾乎任何網(wǎng)站“武器化”。

有趣的是，去年Russell Brandom在The Verge中表示，在參考雙因素身份驗證時，“是時候?qū)ζ湎拗七M(jìn)行誠實了” 。Brandom講述了雙因素的承諾如何在惡作劇制造者繞過它的時候開始解開。他說，“很明顯，大多數(shù)雙因素系統(tǒng)都不能與高級用戶對抗。”

盡管如此，他說，在大多數(shù)情況下，問題本身不是雙因素。這是“它周圍的一切。如果你可以突破那個雙因素登錄旁邊的任何東西 - 無論是帳戶恢復(fù)流程，可信設(shè)備還是底層運營商帳戶 - 那么你就可以免費回家了。”

然而，提出了一條明顯的建議，即對鏈接保持警惕。此外，關(guān)于什么是雙因素身份驗證的觀點是有用的。它比基本密碼機制更緊湊。這是一個額外的安全層。但正如KnowBe4首席執(zhí)行官Stu Sjouwerman所說：“雙因素身份驗證旨在成為額外的安全層，但在這種情況下，我們清楚地看到您不能單獨依賴它來保護(hù)您的組織。”