Seseorang menemukan cara untuk mengabaikan dua faktor…

Keamanan total bukanlah hal yang mudah, dan sementara kami mungkin menganggap otentikasi dua faktor sebagai perlindungan terhadap akun kami yang diretas, metode penambangan baru sekarang memungkinkan Peretas memalsukan permintaan otentikasi tersebut dengan mengirim pengguna ke halaman login palsu dan kemudian mencuri nama pengguna mereka, kata sandi, dan cookie sesi.

Eksploitasi tersebut ditunjukkan oleh Direktur Serangan KNowBe4 Kevin Mitnick dalam sebuah video yang dipublikasikan hari ini.

Serangan itu mengharuskan pengguna untuk mengunjungi situs web palsu di mana kredensial login, kata sandi, dan kode otentikasi mereka dapat dicuri. Pada titik ini, peretas dapat memberikan kredensial yang benar ke situs web yang sah sebelum mengambil alih cookie sesi. Ini akan memungkinkan login yang berhasil, sebagian karena peretasan menggunakan kode otentikasi dua faktor satu kali yang sama sebagai cara untuk menipu login yang diautentikasi.

Stu Sjouwerman, CEO KnowBe4 mengatakan: “Seorang teman hacker topi putih Kevin telah mengembangkan alat untuk melewati otentikasi dua faktor menggunakan taktik rekayasa sosial – dan itu dapat dijadikan senjata untuk situs web mana pun”. “Otentikasi dua faktor dimaksudkan sebagai lapisan keamanan ekstra, tetapi dalam kasus ini, jelas bagi kami bahwa Anda tidak dapat mengandalkannya sendirian untuk melindungi organisasi Anda.”

Sistem itu dibuat oleh peretas Kuba Gretzky, yang kemudian menamakannya evilginx. Gretzky juga merinci semuanya dalam sebuah posting di situs webnya, yang cukup banyak dibaca.

Satu-satunya pertahanan yang dapat bekerja melawan metode serangan ini adalah dengan mengurangi risiko serangan phishing kepada pengguna, mungkin melalui pendidikan. Pengguna yang paham teknologi tidak mungkin menjadi mangsa serangan semacam itu, tetapi mereka yang kurang informasi juga lebih mungkin tertipu untuk mengunjungi situs web palsu yang terlihat seperti situs target. Masalahnya jelas merupakan kasus pendidikan.

“Ini menyoroti perlunya pelatihan kesadaran keamanan usia sekolah baru dan simulasi phishing karena manusia benar-benar merupakan garis pertahanan terakhir Anda,” kata Sjouwerman. Kami sangat setuju.

Sumber: kue redmond