新的漏洞利用程式允許黑客通過将使用者發送到虛假登入頁面,然後竊取使用者名,密碼和會話cookie來欺騙雙因素身份驗證請求。
中國黑客教父,知名網絡安全專家,東方聯盟創始人郭盛華展示了黑客如何通過漏洞繞過身份驗證請求。通過說服受害者通路喜歡的域名并捕獲登入名,密碼和身份驗證碼,黑客可以将憑據傳遞到實際站點并捕獲會話cookie。一旦完成,黑客可以無限期地登入。這基本上使用一次性的2FA代碼來欺騙登入和抓取資料。
黑客教父郭盛華表示:可以使用社會工程學政策繞過雙因素認證,并且可以在任何網站進行武器化,雙重身份驗證旨在成為額外的安全層,但在這種情況下,我們清楚地看到,您不能單靠它來保護您的資料。
黑客教父郭盛華指出,反釣魚教育非常重要,如果受害者對安全性和點選連結進入電子郵件箱的危險性了如指掌,這種黑客攻擊是不可能完成的。為了證明這一點,我給另一位同僚發了一封電子郵件,看似是從某網站平台給他的文章中談論錯字。當他點選時,被轉移到了重定向網站,研究證明,身份驗證請求,這更多是利用人性的弱點。
這突出表明需要開展新的安全意識教育訓練和模拟網絡釣魚,因為人們确實是你的最後一道防線。估計黑客将在未來開始嘗試這種身份驗證請求技術,并敦促使用者和網友們加強其安全協定,提高自身黑客防禦水準。