新的漏洞利用程序允許黑客通過將用戶發送到虛假登錄頁面,然后竊取用戶名,密碼和會話cookie來欺騙雙因素身份驗證請求。
中國黑客教父,知名網絡安全專家,東方聯盟創始人郭盛華展示了黑客如何通過漏洞繞過身份驗證請求。通過說服受害者訪問喜歡的域名並捕獲登錄名,密碼和身份驗證碼,黑客可以將憑據傳遞到實際站點並捕獲會話cookie。一旦完成,黑客可以無限期地登錄。這基本上使用一次性的2FA代碼來欺騙登錄和抓取數據。
黑客教父郭盛華表示:可以使用社會工程學策略繞過雙因素認證,並且可以在任何網站進行武器化,雙重身份驗證旨在成為額外的安全層,但在這種情況下,我們清楚地看到,您不能單靠它來保護您的數據。
黑客教父郭盛華指出,反釣魚教育非常重要,如果受害者對安全性和點擊鏈接進入電子郵件箱的危險性了如指掌,這種黑客攻擊是不可能完成的。為了證明這一點,我給另一位同事發了一封電子郵件,看似是從某網站平台給他的帖子中談論錯字。當他點擊時,被轉移到了重定向網站,研究證明,身份驗證請求,這更多是利用人性的弱點。
這突出表明需要開展新的安全意識培訓和模擬網絡釣魚,因為人們確實是你的最后一道防線。估計黑客將在未來開始嘗試這種身份驗證請求技術,並敦促用戶和網友們加強其安全協議,提高自身黑客防御水平。