详细内容或原文请订阅后点击阅览
gmail的多因素身份验证绕过了黑客的攻击
俄罗斯黑客说服目标是在非常复杂且有针对性的社会工程攻击中共享其应用程序密码。
来源:Malwarebytes Labs 博客俄罗斯黑客在GMAIL中绕过了Google的多因素身份验证(MFA),以启动目标攻击。
Google威胁情报小组的安全研究人员黑客在高级社会工程攻击中担任美国国家官员,与目标建立融洽关系,然后说服他们创建特定于应用程序的密码(APP密码)来实现这一目标。
应用程序密码是Google生成的特殊16位代码,以允许某些应用程序或设备安全地访问Google帐户,尤其是在启用MFA时。
通常,当您登录到Google帐户时,您会使用常规密码加上第二个验证步骤,就像发送到手机的代码一样。但是,由于某些较旧或更少安全的应用程序和设备(例如某些电子邮件客户端,摄像头或旧手机)无法处理此额外的验证步骤,因此Google提供了应用程序密码作为登录的替代方法。
但是,由于APP密码跳过第二个验证步骤,因此黑客可以比完整的MFA登录更容易地窃取或更容易地窃取它们。
在Citizenlab提供的一个示例中,攻击者最初是通过担任国务院代表的联系,邀请目标在私人在线对话的情况下进行咨询。
公民尽管邀请来自一个Gmail帐户,但它cced @State.gov帐户,给出了错误的安全感,并使目标相信国务院的其他人已经监视了电子邮件对话。
很可能,攻击者知道国务院的电子邮件服务器接受所有消息,并且即使地址不存在,也不会发送弹跳响应。
因此,虽然目标认为他们正在创建和共享一个应用程序密码以安全的方式访问州立部门平台,但他们实际上是在攻击者完全访问其Google帐户。