ТОП просматриваемых книг сайта:
Искусство быть невидимым. Кевин Митник
Читать онлайн.Название Искусство быть невидимым
Год выпуска 2017
isbn 978-5-04-094446-0
Автор произведения Кевин Митник
Жанр Биографии и Мемуары
Серия Мир технологий
Издательство Эксмо
После этого, если кто-то с другого компьютера или устройства попытается сменить пароль к вашей учетной записи, вам на телефон придет текстовое сообщение. Любое изменение в настройках учетной записи будет сохранено только после ввода правильного кода подтверждения.
Но и тут есть слабая сторона. Сотрудники компании Symantec выяснили, что при отправке SMS-сообщения для подтверждения личности человек, которому известен ваш номер мобильного телефона, прибегнув к социальной инженерии, может перехватить проверочный код и сбросить пароль, стоит вам лишь утратить бдительность.{23}
Представим, что я хочу взломать вашу почту и не знаю пароль, но знаю номер сотового телефона, поскольку эту информацию легко найти через Google. Я могу перейти на страницу восстановления пароля и запросить сброс пароля. Поскольку у вас настроена двухфакторная аутентификация, вы получите SMS-сообщение с кодом. Пока все в порядке, правда? Не спешите.
Недавно произошел инцидент с политическим активистом Диреем Маккиссоном, телефон которого был взломан. Эта атака стала ярким примером того, как злоумышленники могут обманом получить у оператора сотовой связи сменную SIM-карту.{24} Другими словами, мошенник может завладеть вашим номером телефона и получать приходящие вам SMS-сообщения – например, SMS-код от сервиса Google для сброса пароля от принадлежащего Маккиссону аккаунта Gmail, на котором была настроена двухфакторная аутентификация. Это почти то же самое, что обманом заставить кого-то прочитать вам вслух SMS-сообщение с новым паролем. Хотя и такую возможность (социальную инженерию) никто не отменял.
Поскольку я не вижу код подтверждения, который сервис электронной почты отправил вам по телефону, мне придется притвориться кем-то другим, чтобы вы сами мне его предоставили. Всего за несколько секунд до того, как вы получите настоящее сообщение, например от сервиса Google, я, будучи хакером, могу с одноразового виртуального номера отправить ложное SMS-сообщение со следующим текстом:
«Google обнаружил подозрительную активность в вашем аккаунте. Для прекращения нежелательных действий в аккаунте, пожалуйста, в ответ на это сообщение отправьте проверочный код, высланный на ваше мобильное устройство».
Вы увидите, что да, действительно, вам только что пришло SMS-сообщение от Google с проверочным кодом, и, если вы не очень осторожны, вы можете просто отправить его мне в ответ на фальшивое сообщение. После этого у меня будет не более шестидесяти секунд на то, чтобы ввести код подтверждения на странице сброса пароля. Далее я смогу сменить пароль и захватить вашу почту. Или любую другую почту.
Поскольку SMS-сообщения с кодами не шифруются и код можно узнать тем способом, который я только что описал, для большей надежности рекомендуется скачать приложение для двухфакторной аутентификации Google Authenticator из Google Play или App Store для использования с iPhone. Это приложение генерирует
symantec.com/connect/blogs/password-recovery-scam-tricks-users-handing-over-email-account-access
techcrunch.com/2016/06/10/how-activist-deray-mckessons-twitter-account-was-hacked/