FBI警告说,社会工程技术可以帮助绕过多因素身份验证

不久前,我们讨论了两因素身份验证和多因素身份验证系统的实用性,以及它们如何帮助用户保护帐户免受黑客攻击。但是,随着时间的流逝,网络安全专家证明,没有任何系统是不可战胜的,并且如果攻击者有足够的能力,资金和决心这样做,则可以绕过所有安全措施。 联邦调查局的公告中提供了最新的证明。它讨论了FBI对多因素身份验证系统的观察到的攻击,并警告不要盲目依赖额外的安全层。这是否意味着使用多因素身份验证或设置强密码会浪费您的时间?您可以在此博客文章中进一步找到这些问题的答案。此外,在本文的其余部分中,我们将讨论黑客如何绕过多因素身份验证以及此类攻击的发生频率。

黑客如何绕过多重身份验证?

根据FBI的警告,黑客借助常见的社会工程技术和技术攻击绕过了多重身份验证。该公告特别警告有关SIM卡交换处理多因素身份验证的网站的弱点以及黑客工具 (例如MuraenNecroBrowser)的警告

SIM交换 (也称为端口骗局)是一种攻击,在此攻击期间,欺诈者针对验证系统中的一个漏洞,该漏洞需要安全码,该安全码应通过手机接收。为了进行这种攻击,网络犯罪分子必须将目标受害者的电话号码移植到属于他们的设备上。大多数电话公司为丢失SIM卡并希望保留其旧电话号码的用户提供此类服务。因此,要成功进行SIM交换攻击,黑客必须学习有关目标受害者的足够信息,以便他们可以冒充他并说服他的电话提供商将所需的电话号码转移到新的SIM卡上。请记住,如果网络罪犯成功,则应阻止用户原始的SIM卡。因此,如果您发现SIM卡不再可用,则应尽快与电话公司联系,并检查是否有人非法交换了SIM卡。

接下来,我们有名为Muraen和NecroBrowser的黑客工具。它们是在2019年6月在阿姆斯特丹举行的“ Hack-in-the-Box”会议上介绍的。这些工具是为自动钓鱼攻击创建的,可以绕过两因素身份验证。在这些过程中,上述工具会创建网站的副本,可以通过该网站访问目标帐户。传统的网络钓鱼网站与借助Muraen和NecroBrowser工具创建的虚假网站之间的区别在于,较新的网站可以从原始网站中请求验证码。因此,尝试通过假网站登录的用户将收到来自合法站点的验证码。一旦输入了这样的代码,黑客不仅可以使用它登录目标帐户,还可以获取会话Cookie或会话令牌,以供将来登录时使用。

黑客多久绕过一次多重身份验证?

如果您正在关注网络安全新闻,则可能已经注意到研究人员会不时报告针对多重身份验证系统的新攻击。您可能已经读到,由于此类攻击很少发生,因此没有统计信息 。这样做有两个原因。首先,尽管网络安全专家建议使用多因素身份验证,但仍有许多用户不愿意启用它。这意味着,网络犯罪分子不必攻击受到此类安全措施保护的帐户,因为受保护的目标很多。其次,使用多因素身份验证入侵帐户并不像仅受密码保护的帐户入侵那样简单。这样的攻击需要更多的时间,金钱和更先进的黑客工具。换句话说,虽然攻击受到严格保护的公司帐户可能会带来更大的回报,但许多黑客发现掠夺较弱的目标更加容易,也更有利可图。

是否仍然建议使用多重身份验证?

简而言之,答案是肯定的。尽管有时多重身份验证可能无法保护帐户,但仍然是保护自己在线的最佳方法。如前所述,这种攻击很少发生,因为许多网络犯罪分子选择了更易于访问的目标。自然,如果更多用户开始使用多重身份验证,则黑客将来别无选择,只能攻击受其保护的帐户。但是,目前,多重身份验证的额外安全层可以抵御传统的网络钓鱼攻击和其他仅针对受密码保护的帐户而设计的攻击。

如果启用了多重身份验证,是否需要使用强密码?

最后,您可能想知道如果启用了多重身份验证,使用强密码是否有任何意义。同样,答案是肯定的。当涉及保护个人信息,您的银行帐户或黑客可能在您的帐户上找到的任何其他敏感内容时,您应该利用可以采用的所有安全措施。此外,仍有一些网站,平台和应用程序不提供多因素身份验证。在这种情况下,您帐户的安全性可能取决于您设置的密码。

毫无疑问,创建强密码并确保您永远不会忘记它们的最简单方法是使用密码管理器。为确保您的登录凭据也受到保护,我们建议使用专用的密码管理器,而不是浏览器随附的集成功能。如果您想要一个可以确保安全并免费提供许多有用功能的工具,建议您尝试使用Cyclonis Password Manager 。它适用于所有主要操作系统。而且,它可以生成强大的密码并为您记住它们,并自动将您登录到您的帐户。要了解其可以提供的所有功能,您应该在此处继续阅读。

总而言之,即使可以绕过多重身份验证,它仍然似乎是保护自己帐户的最佳方法。当然,有很多多重身份验证选项,有些比其他选项更安全。因此,如果您能够选择,则应研究所有可用的选项并选择被认为是最强的选项。此外,不要盲目地依赖于额外的安全层,您永远也不应失去警惕并警惕网络钓鱼网站,并确保黑客无法轻易地交换您的SIM卡。此外,关注网络安全新闻和学习如何避免成为最新骗局的受害者,这从未有过任何伤害。

由 Foley
December 9, 2019
News
汉语
December 9, 2019
News

热门帖子

微软警告国家支持的威胁行为者正在使用人工智能进行攻击

4 days前

木马 Al11 恶意软件检测

11 months前

Pinaview 是一款功能齐全的广告软件应用程序

10 months前

“您的 iCloud 被黑客攻击”和“您的 iPhone 已被黑客攻击”弹出窗口

7 months前

什么是幸运勒索软件?

7 months前

“美国运通 - 更新您的帐户信息”电子邮件诈骗

6 months前
汉语
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

首页

产品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

支持

帮助 常见问题 Downloads 咨询和支持

公司

关于我们 联系我们 报告滥用

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 隐私政策 Cookie政策 Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows 是 Microsoft 在美国和其他国家/地区注册的商标。
Mac、iPhone、iPad 和 App Store 是 Apple Inc. 在美国和其他国家/地区注册的商标。
iOS 是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
Android 和 Google Play 是 Google LLC 的商标。