新的漏洞利用程序允许黑客通过将用户发送到虚假登录页面,然后窃取用户名,密码和会话cookie来欺骗双因素身份验证请求。
中国黑客教父,知名网络安全专家,东方联盟创始人郭盛华展示了黑客如何通过漏洞绕过身份验证请求。通过说服受害者访问喜欢的域名并捕获登录名,密码和身份验证码,黑客可以将凭据传递到实际站点并捕获会话cookie。一旦完成,黑客可以无限期地登录。这基本上使用一次性的2FA代码来欺骗登录和抓取数据。
黑客教父郭盛华表示:可以使用社会工程学策略绕过双因素认证,并且可以在任何网站进行武器化,双重身份验证旨在成为额外的安全层,但在这种情况下,我们清楚地看到,您不能单靠它来保护您的数据。
黑客教父郭盛华指出,反钓鱼教育非常重要,如果受害者对安全性和点击链接进入电子邮件箱的危险性了如指掌,这种黑客攻击是不可能完成的。为了证明这一点,我给另一位同事发了一封电子邮件,看似是从某网站平台给他的帖子中谈论错字。当他点击时,被转移到了重定向网站,研究证明,身份验证请求,这更多是利用人性的弱点。
黑客教父郭盛华说:“这突出表明需要开展新的安全意识培训和模拟网络钓鱼,因为人们确实是你的最后一道防线。估计黑客将在未来开始尝试这种身份验证请求技术,并敦促用户和网友们加强其安全协议,提高自身黑客防御水平。