黑客找到聪明的方式绕过Google的双因素认证

双因素认证(简称2FA)是当前主流在线服务的重要安全措施之一,从银行到Google,从Facebook到政府机构都逐渐采用了这项安全措施。在双因素认证保护账号需求进行登录操作的时候需要输入以SMS短信发送的验证码,否则即使在输入正确的密码也会被系统所阻止。

在本周末,Clearbit.com的联合创始人Alex MacCaw在个人推特上分享了他近日收到的一条短信。匿名攻击者相MacCaw发送了一条冒充Google的SMS短信,信息内容如下:

(Google 通知)我们近期注意到来自IP地址136.91.38.203(加州瓦卡维尔)尝试登录jschnei4@gmail.com账号的可疑行为。如果你并未在上述地址进行过登陆,将会暂时锁定你的账号。请回复你接收到的六位验证码,如果你确认识别这次登陆,请忽略这个警告。

基本上,攻击者欺诈受害人接收双因素认证识识别码,以便于为随后进行的非法登录尝试做准备。这种欺诈手段通常已经获得了MacCaw的账号密码,而如果消费者错认为这是双因素系统锁定账号的操作,将六位验证码发送给Google,其实MacCaw的发送对象是欺诈者,后者就能进入登陆页面访问他的账号。
本文转自d1net(转载)

时间: 2024-12-05 04:39:11

黑客找到聪明的方式绕过Google的双因素认证的相关文章

“yes”或“no”:Google双因素验证迎来新方式

Google的双因素认证迎来新的选项,当用户在PC端发起登陆请求的时候除了传统的六位密码验证方式之外还能简单地在手机端点击"No, Deny sign-in"来拒绝本次登陆或者点击"Yes, allow sign-in"来进一步操作. 自然消费者可以根据自身喜好来选择其中之一作为账号的安全保障手段,用户可以在我的账号页面中在登录&安全>登录至Google>双因素验证中进行选择.不过这种方式需要确保手机处于联网状态,在Android端用户需要升级G

Evilginx:可绕过双因素验证的高级钓鱼框架

本文讲的是Evilginx:可绕过双因素验证的高级钓鱼框架, 过去几个月里,我一直在研究可用于渗透测试任务的网络钓鱼技术.我发现,几乎所有的网络钓鱼都是通过网络钓鱼获得登录凭证开始进行攻击的. 今天的这篇文章中,我将向大家展示新发现的一个钓鱼攻击技巧,它可以让网络钓鱼更加隐蔽. 首先声明下,Evilginx钓鱼攻击方法仅仅是我用来做钓鱼测试用的.之所以会公布出来,只是出于技术交流和安全漏洞预警目的. Evilginx,可绕过双因素验证的高级钓鱼框架.它是一个中间人攻击框架,用于远程捕获任何Web

给营销人员的建议:找到合适的方式使用口碑媒体

中介交易 SEO诊断 淘宝客 云主机 技术大厅 口口相传比付费广告更有效.也许对许多数字广告商来说,这是件很可悲的事,但这却越来越是事实.消费者口碑对公众意识.知识.客户品牌的理解的影响程度正以惊人的速度开始,而社交媒体令这一现象更为直接. 消费者会相互交谈,而那些聆听者会急于使用他们所听到的那些好评产品.现在在美国,消费者的谈话中将有330万次会涉及品牌,在240万次与品牌相关的对话中也会提及品牌.消费者54%的购买决定会根据口碑而定,因为这些消费者中有49% 认为,网络口碑具有"高可靠性&q

看我如何绕过Lastpass双因素验证机制

本文讲的是看我如何绕过Lastpass双因素验证机制,在某次红队测试中,我发现了一种在Lastpass中绕过双因素验证(2FA)的方法.不幸的是,这一发现是在Tavis Ormandy曝光Lastpass远程命令执行漏洞之前,否则会节省我许多时间.但无论如何,2FA是一层额外的安全防护,主要用来保护用户帐户免受那些已经破解了密码的攻击者对你发起攻击. 当你在使用账号密码登录所需要的服务时,往往都会在获得访问权限之前,面临一个挑战--一个每30秒更改一组6位数的临时代码.比如Google验证器.A

通过子域名来窃取全局共享的Cookie,间接绕过Uber的单点登录认证

本文讲的是通过子域名来窃取全局共享的Cookie,间接绕过Uber的单点登录认证, Uber使用Amazon CloudFront CDN的本意本来是为终端用户提供低延迟性和高传输速度,增加用户的客户的体验,但没想到,其子域名saostatic.uber.com却被黑客控制以窃取全局共享的Cookie,并间接绕过Uber的单点登录认证. 此外,Uber最近在auth.uber.com上部署了单点登录(SSO)系统,该系统基于所有* .uber.com子域之间的共享Cookie. 因此,利用子域进

电话验证靠谱? 双因子认证或助黑客致富

在前不久,我们刚刚了解到无孔不入的社会工程学攻击能够为双因子认证(Two-factor authentication,2FA)带来致命的打击.现在来自比利时的安全研究员Arne Swinnen又发现,利用一些大公司(如Google.微软.Instagram)提供的双因子认证里的电话语音验证服务漏洞,则能够从中赚取到高额的利润. 据悉,大多数部署了2FA的公司,当用户在其官网上注册后,都会发送短信认证码对用户的真实性验明正身.当然,用户也可以选择接收这些公司的电话呼叫,让语音机器人告诉你认证码是什

卢松松:Bing与Google搜索排名因素研究

你知道吗? (1)H1.H2标签并不重要了,它们只占了0.01分, (2)标题是否有关键词也已经并不那么重要了,它们也占了0.01分, (3)URL中是否有关键词也无所谓的, (4)description(描述)貌似和关键词一样,分值越来越低了. 最近笔者花了一个多小时翻译了这张图,目的是希望通过bing.Google的搜索排名的综合分析,更好的为广大站长提供seo方面的参考,有些SEO并不重要了. searchmetrics最近发布了影响bing(微软的搜索引擎)搜索引擎排名因素,总体来看类似

针对基础类软件的攻击正成为黑客最青睐攻击方式之一

在近期Linux Mint被攻击事件发生之前,很少有人能意识到,自己刚刚安装操作系统的PC,可能就已经沦为黑客的"肉鸡".而且大多数人也无法想象,这只"肉鸡"的来源,是Linux官网上完全符合Hash值验证的操作系统镜像文件.事实上,这类针对基础类软件的攻击在近年来正在不断增多,影响了越来越多的个人及企业用户.百度安全旗下的百度安全实验室(X-lab)专家xi4oyu在分析此类事件后做出评论:针对基础类软件的攻击正在成为黑客最青睐的攻击方式之一,因为其更隐蔽.也更有

“优雅”的Linux漏洞:用罕见方式绕过ASLR和DEP保护机制

最近国外研究人员公布的一段exp代码能够在打完补丁的Fedora等Linux系统上进行drive-by攻击,从而安装键盘记录器.后门和其他恶意软件. 这次的exp针对的是GStreamer框架中的一个内存损坏漏洞,GStreamer是个开源多媒体框架,存在于主流的Linux发行版中.我们都知道,地址空间布局随机化(ASLR)和数据执行保护(DEP)是linux系统中两个安全措施,目的是为了让软件exp更难执行.但新公布的exp通过一种罕见的办法绕过了这两种安全措施--国外媒体还专门强调了这个漏洞