Een phisher heeft de authenticatie in twee stappen van Gmail gehackt

losgekoppeld

DoorJack Busch

Laatst geupdate op18 november 2019

Hier bij groovyPost pushen we constant authenticatie in twee stappen als een manier om uw online accounts te beveiligen. Ik heb gebruikt Gmail-authenticatie in twee stappen geruime tijd en ik moet zeggen, ik voel me er heel veilig door. Voor degenen die het niet gebruiken, betekent authenticatie in twee stappen dat u uw wachtwoord moet gebruiken om in te loggen en een andere unieke code (meestal verzonden via sms, telefoontje of een app zoals Google Authenticator). Toegegeven, het is een beetje vervelend, maar het voelt de moeite waard voor mij. Ik heb gevallen gezien waarin het een hackpoging heeft belemmerd (dat wil zeggen, ik kreeg tweefactorteksten op mijn telefoon wanneer ik niet probeerde in te loggen, wat betekent dat iemand mijn wachtwoord correct heeft ingevoerd).

Vorige week schokte het me toen ik op de podcast Reply All hoorde dat een hacker met succes iemand had gephished met Gmail-verificatie in twee stappen. Dit was in de aflevering getiteld

Wat voor soort idioot wordt phishing? Het is een geweldige aflevering, dus ik zal het niet voor je verpesten door te vertellen wie de 'idioot' was, maar ik zal je enkele trucs vertellen die ze hebben gebruikt.

1. Lijken op domeinnamen

De hacker had toestemming van de producenten van de show om te proberen het personeel te hacken. Maar ze hadden geen toegang van binnenuit tot hun servers. Maar de eerste stap om hun doelen te pwnnen was het vervalsen van het e-mailadres van een collega. Zie, de persoon wiens e-mail ze hebben vervalst was:

phia@gimletmedia.com

Het e-mailadres dat de phisher gebruikte was dit:

phia@gimletrnedia.com

Kunt u het verschil zien? Afhankelijk van het lettertype is het je misschien niet opgevallen dat het woord "media" in de domeinnaam eigenlijk gespeld is r-n-e-d-i-a. De r en n in elkaar overvlogen zien eruit als een m. Het domein was legitiem, dus het zou niet zijn opgepikt door een spamfilter.

2. Overtuigende bijlagen en hoofdtekst

Het lastigste deel van de phishing-e-mail was dat het extreem legitiem klonk. Meestal kun je een schaduwrijke e-mail van een mijl afstand herkennen aan zijn rare karakters en gebroken Engels. Maar deze phisher deed zich voor als een producer die een stukje audio naar een team stuurde voor bewerking en goedkeuring. In combinatie met de overtuigende domeinnaam leek het erg geloofwaardig.

3. Valse 2-stap Gmail-aanmeldingspagina

Dit was de lastige. Een van de verzonden bijlagen was dus een pdf in Google Docs. Of zo leek het. Toen het slachtoffer op de bijlage klikte, werd hem gevraagd zich aan te melden bij Google Documenten, zoals je soms moet doen, zelfs als je al bij Gmail bent ingelogd (zo lijkt het).

En hier is het slimme deel.

De phisher heeft een nep-inlogpagina gemaakt die een echt 2-factor authenticatieverzoek aan de echte server van Google, ook al was de inlogpagina volledig nep. Het slachtoffer kreeg dus een sms-bericht zoals normaal en plaatste het vervolgens op de nep-inlogpagina wanneer daarom werd gevraagd. De phisher gebruikte die informatie vervolgens om toegang te krijgen tot hun Gmail-account.

Phished.

Betekent dit dat de authenticatie in twee stappen is verbroken?

Ik zeg niet dat authenticatie in twee stappen zijn werk niet doet. Ik voel me nog steeds veiliger en veiliger met 2-factor ingeschakeld, en dat ga ik zo houden. Maar toen ik deze aflevering hoorde, realiseerde ik me dat ik nog steeds kwetsbaar ben. Beschouw dit dus als een waarschuwend verhaal. Raak niet te zelfverzekerd en leg de beveiligingsmaatregelen aan om jezelf te beschermen tegen het onvoorstelbare.

Oh, trouwens, de geniale hacker uit het verhaal is: @DanielBoteanu

Gebruik je authenticatie in twee stappen? Welke andere beveiligingsmaatregelen gebruikt u?