Bảo mật hoàn toàn không phải là điều dễ dàng và trong khi chúng ta có thể nghĩ rằng xác thực hai yếu tố là biện pháp bảo vệ chống lại việc tài khoản của chúng ta bị tấn công, một phương thức khai thác mới hiện cho phép tin tặc giả mạo các yêu cầu xác thực đó bằng cách đưa người dùng đến các trang đăng nhập giả mạo và sau đó đánh cắp tên người dùng, mật khẩu và cookie phiên của họ.
Việc khai thác đã được trình bày bởi Giám đốc tấn công KNowBe4 Kevin Mitnick trong một video được công khai ngày hôm nay.
Vụ tấn công này yêu cầu người dùng truy cập một trang web giả mạo, nơi thông tin đăng nhập, mật khẩu và mã xác thực của họ có thể bị đánh cắp. Tại thời điểm này, tin tặc có thể chuyển thông tin đăng nhập chính xác đến một trang web hợp pháp trước khi chiếm cookie phiên. Điều này sẽ cho phép đăng nhập thành công, một phần vì vụ hack sử dụng cùng một mã xác thực hai yếu tố một lần như một cách để giả mạo thông tin đăng nhập đã xác thực.
Stu Sjouwerman, Giám đốc điều hành của KnowBe4 cho biết: “Một người bạn hacker mũ trắng của Kevin đã phát triển một công cụ để bỏ qua xác thực hai yếu tố bằng cách sử dụng các chiến thuật kỹ thuật xã hội – và nó có thể được vũ khí hóa cho bất kỳ trang web nào”. “Xác thực hai yếu tố được dự định là một lớp bảo mật bổ sung, nhưng trong trường hợp này, chúng tôi thấy rõ rằng bạn không thể chỉ dựa vào nó để bảo vệ tổ chức của mình”.
Hệ thống đó được tạo ra bởi hacker Kuba Gretzky, người sau đó đặt tên cho nó là evilginx. Gretzky cũng trình bày chi tiết toàn bộ sự việc trong một bài đăng trên trang web của mình, điều này khiến người ta đọc khá nhiều.
Biện pháp bảo vệ duy nhất có thể hoạt động chống lại phương pháp tấn công này là giảm nguy cơ tấn công lừa đảo đối với người dùng, có thể thông qua giáo dục. Những người dùng hiểu biết về công nghệ khó có thể rơi vào tình trạng bị tấn công như vậy, nhưng với những người không biết rõ hơn cũng có nhiều khả năng bị lừa truy cập vào các trang web giả mạo giống trang web mục tiêu, vấn đề chắc chắn là một trường hợp giáo dục.
Sjouwerman cho biết: “Điều này nhấn mạnh nhu cầu đào tạo nâng cao nhận thức về an ninh cho lứa tuổi học sinh mới và mô phỏng lừa đảo vì con người thực sự là tuyến phòng thủ cuối cùng của bạn. Chúng tôi không thể đồng ý nhiều hơn.
Nguồn: redmond pie
