Старший хакер компании KNowBe4 Кевин Митник рассказал о том, как злоумышленники могут обходить двухфакторную систему аутентификации и проникать в чужие аккаунты. Взлом достигается хитроумным инструментом в сочетании с социальной инженерией.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Хакер создаёт поддельный сайт, заманивает на него пользователем и крадёт логин, пароль и код двухфакторной аутентификации. Затем он передаёт эти данные легитимному сайту и перехватывает куки. После этого он может залогиниться в чужую учётную запись, поскольку для входа в неё требуются тот же самый одноразовый код, который был создан для настоящего пользователя.

Друг Митника создал инструмент, с помощью которого можно подделать любой сайт и перехватить на нём данные, необходимые для входа в учётную запись, защищённую двухфакторной аутентификацией. Самая главная сложность — заманить пользователя на фейковый сайт, и именно для этого требуются навыки социальной инженерии.

---

Канал iG в Telegram — t.me/iguides_ru