Crédito:CC0 Public Domain
La autenticación de dos factores se puede superar, como ha demostrado una demostración de hacker. Se está prestando mucha atención a un video publicado donde Kevin Mitnick, KnownBe4 director de piratería informática, reveló el exploit de dos factores.
La autenticación de dos factores es "una capa adicional de seguridad que requiere algo que el empleado TIENE y algo que CONOZCA".
"El núcleo del ataque viene en un correo electrónico de suplantación de identidad, en este caso, uno supuestamente enviado por LinkedIn, a un miembro que indica que alguien está tratando de conectarse con él en esa red social, "dijo Doug Olenick, Revista SC .
El usuario obtiene una página de inicio de sesión falsa. El método de ataque se describe en el lenguaje de seguridad como una técnica de phishing de credenciales, que requiere el uso de un dominio de error tipográfico. La idea es dejar que el usuario regale sus credenciales. Un hacker de sombrero blanco amigo de Kevin desarrolló la herramienta diseñada para eludir la autenticación de dos factores.
En este tipo de ataque, ¿qué se entiende por dominio de tipo okupación? Es un truco, y la "okupación" refleja cómo se ciberocupada en otra entidad. Los usuarios de Internet que usen la dirección escrita deliberadamente con letras incorrectas con su planta de error tipográfico pueden ser dirigidos a un sitio web alternativo administrado por piratas informáticos.
Mitnick mostró cómo funciona todo esto, al iniciar sesión en su cuenta de gmail, a través de un correo electrónico vinculado falso.
Matthew Humphries, PCMag editor y reportero de noticias con sede en el Reino Unido, dijo en el ataque, un correo electrónico parece correcto con respecto al sitio web al que se dirige, "para que el destinatario no se tome el tiempo de comprobar el dominio desde el que se envió".
En este caso, el correo electrónico era de llnked.com en lugar de linkedin.com; es fácil pasarlo por alto si no está buscando comentarios falsos. Al hacer clic en el botón "Interesado" en el correo electrónico, el usuario accede a un sitio web que se parece a la página de inicio de sesión de LinkedIn. Considerándolo todo, Mitnick demostró que no era tan difícil seguir adelante y obtener los datos de un usuario de LinkedIn, "simplemente redirigiéndolos a un sitio web que se parece a LinkedIn y usando 2FA en su contra para robar sus credenciales de inicio de sesión y acceso al sitio, "dijo Humphries.
La demostración utilizó LinkedIn como ejemplo, pero podría usarse en Google, Facebook, y cualquier otra cosa que lleve inicio de sesión de dos factores; los informes dijeron que la herramienta podría ser "armada" para casi cualquier sitio web.
Curiosamente, Fue el año pasado cuando Russell Brandom dijo en El borde que era "hora de ser honesto acerca de sus límites" en referencia a la autenticación de dos factores. Brandom dio cuenta de cómo la promesa de los dos factores comenzó a desmoronarse desde el principio con los malhechores que la esquivaban. Él dijo, "Está claro que la mayoría de los sistemas de dos factores no se enfrentan a usuarios sofisticados".
Sin embargo, él dijo, en la mayoría de los casos, el problema no es de dos factores en sí mismo. Es "todo lo que hay a su alrededor. Si puede superar cualquier cosa que se encuentre junto a ese inicio de sesión de dos factores, ya sea el proceso de recuperación de la cuenta, dispositivos confiables, o la cuenta del operador subyacente, entonces estás en casa gratis ".
Un consejo obvio, sin embargo, se ofreció y eso es estar atento a los enlaces. También, una perspectiva sobre qué es y qué no es la autenticación de dos factores es útil. Es una solución más estricta que un mecanismo básico de solo contraseña. Es una capa extra de seguridad. Pero como Stu Sjouwerman, CEO , KnowBe4, fijado:. "La autenticación de dos factores está destinada a ser una capa adicional de seguridad, pero en este caso, vemos claramente que no puede confiar solo en él para proteger su organización ".
© 2018 Tech Xplore