2FA Bypass工具突显了顶级业务安全漏洞
发布时间:2022-03-07 10:59:45 所属栏目:要闻 来源:互联网
导读:安全研究员发布了一个概念验证工具,可以绕过Gmail和其他服务使用的双因素身份验证(2FA),以突出显示企业安全性最容易被利用的弱点。 根据波兰安全研究员PiotrDuszyński,社会工程是一个严重的威胁,无法轻视待遇。 为了强调这一事实,Duszyński表示他使
|
安全研究员发布了一个概念验证工具,可以绕过Gmail和其他服务使用的双因素身份验证(2FA),以突出显示企业安全性最容易被利用的弱点。 根据波兰安全研究员PiotrDuszyński,社会工程是一个严重的威胁,无法轻视待遇。 为了强调这一事实,Duszyński表示他使用Go编程语言创建了“ModlichKA”工具,使网络钓鱼活动窃取合法的用户凭据尽可能有效。 在GitHub上提供的反向代理工具以及用户指南可用于绕过当前使用的大多数使用的2FA身份验证方案,并使用Duszyński表示他已剥削“很长一段时间”的技术。 他进一步证明了该工具的创建和发布,这对想要进行有效的网络钓鱼活动以及组织的红色组织练习来测试他们的网络防御的有效性来证明它应该是有用的。 然而,Duszyński警告说,除了允许URL欺骗和缺乏用户意识的浏览器错误之外,该技术意味着一些组织可以向银板上的对手送到最有价值的资产。 “最后,如果没有足够的用户意识,即使是最复杂的安全防御系统也可能失败,反之亦然,”他说。“ Eset UK网络安全专家Jake Moore警告说,Duszyński的概念验证理念可用于目标攻击,尽管它需要正确的受害者落下网络钓鱼攻击,并且攻击者需要监控被盗的凭据在代码到期之前,实时登录目标帐户,2FA代码。 “我们了解到,随着我们希望的,SMS的身份验证并不像我们希望的那样安全,并且主要攻击是通过短信拦截的,”Reddit在Astatement中说。“我们指出这一点,鼓励每个人都搬到基于令牌的2FA。” (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读