标记为“双因素认证”的条目

第4页第1页

针对Electrum比特币钱包的新攻击

这个是聪明的:

攻击的工作原理:

  • 攻击者向Electrum钱包网络添加了数十个恶意服务器。
  • 合法的电子钱包用户发起比特币交易。
  • 如果事务到达其中一个恶意服务器,这些服务器会回复一条错误消息,提醒用户从恶意网站(github repo)下载钱包应用程序更新。
  • 用户单击链接并下载恶意更新.
  • 当用户打开恶意的Electrum钱包时,应用程序要求用户输入一个双因素认证(2FA)代码。这是一面红旗,因为这些2FA代码只在发送资金之前被请求,而不是钱包启动时。
  • 恶意的Electrum钱包使用2FA代码窃取用户的资金并将其转移到攻击者的比特币地址.

这里的问题是,允许Electrum服务器在用户钱包内触发带有自定义文本的弹出窗口。

发表于1月7日,2019年上午6:13·查看评论188滚球网站

对双因素认证的实时攻击

攻击者是瞄准双因素认证系统:

代表伊朗政府工作的攻击者收集了有关目标的详细信息,并利用这些信息编写专门针对目标操作安全级别的矛式网络钓鱼电子邮件,安全公司certfa实验室的研究人员说博客帖子.电子邮件包含一个隐藏的图像,当目标查看消息时,该图像会实时提醒攻击者。当目标公司在一个伪造的Gmail或雅虎安全页面中输入密码时,攻击者几乎同时将凭证输入真实的登录页面。如果目标公司的账户受到2FA的保护,攻击者将目标重定向到请求一次性密码的新页面。

这不是新的。我在年写过关于这次袭击的文章二千零五二千零九.

12月14日发布,2018年上午10:02·查看评论188滚球网站

谷歌员工使用物理令牌作为第二身份验证因素

安全问题是报告所有85000名谷歌员工都使用带有物理令牌的双因素认证。

一位谷歌发言人说,安全密钥现在构成了谷歌所有账户访问的基础。

这位发言人说:“自从谷歌实施安全密钥以来,我们还没有报告或确认账户接管。”“由于许多不同的应用程序/原因,可能会要求用户使用其安全密钥进行身份验证。这完全取决于应用程序的敏感性和用户在该时间点的风险。”

现在谷歌是出售证券用户:

星期三,公司宣布新的Titan安全密钥,通过将双因素身份验证限制到物理世界来保护帐户的设备。它可以作为U盘和蓝牙变种提供,和同类产品一样尤比科飞天,它采用了菲多联盟。这意味着它将与几乎所有允许用户打开通用第二因子认证的服务兼容(U2F

发表于7月26日,2018年下午12:18·查看评论188滚球网站

2因素身份验证和iOS自动填充之间的交互带来的反常漏洞

苹果正在推出一种称为安全代码自动填充的iOS安全可用性功能。其基本思想是,操作系统会扫描接收到的短消息中的安全代码,并在自动填充中建议它们,这样人们就可以不用记忆或打字就可以使用它们了。

听起来真是个好主意,但是安德烈亚斯古特曼指出这可能成为一个漏洞的应用程序:当对事务进行身份验证时:

事务验证,与用户身份验证不同,用于证明操作意图的正确性,而不仅仅是用户的身份。它最广为人知的是网上银行,它是防御复杂攻击的重要工具。例如,一个对手可以试图欺骗一个受害者把钱转移到一个与预期不同的账户。为了实现这一点,对手可能会使用社会工程技术,如网络钓鱼和网络钓鱼和/或工具,如浏览器中的人恶意软件.

事务身份验证用于抵御这些对手。存在不同的方法,但在其中一个相关的方法中——这是目前最常用的方法之一——银行将总结任何交易请求的显著信息,用针对该信息而定制的TAN来扩充该摘要,并通过短信息将这些数据发送到注册的电话号码。用户,或者银行客户,应该核实总结,如果这个总结符合他或她的意图,将短信息中的褐色信息复制到网页中。

这个新的iOS功能为在事务验证中使用SMS带来了问题。应用于2FA,用户不再需要打开和读取已经方便地提取和呈现代码的短消息。除非此功能能够可靠地区分2FA中的OTP和事务认证中的TAN,我们可以预期,用户也可以在没有显著信息上下文的情况下提取和呈现其TAN,例如交易记录的金额和目的地。然而,准确地验证这些重要信息对于安全至关重要。这个场景的应用示例包括一个中间人攻击用户从他们的移动浏览器访问网上银行业务,或者用户手机上的恶意网站或应用程序访问银行合法的网上银行服务。

这是两个安全系统之间有趣的交互。安全代码自动填充消除了用户查看短信息或记忆一次性代码的需要。事务验证假定用户在使用一次性代码之前读取并批准了SMS消息中的附加信息。

6月20日发布,2018年上午6:51·查看评论188滚球网站

劫持社交媒体账户的新技术

现在访问文件化的它被用来对付Twitter用户,但它也适用于其他社交媒体账户:

双女巫进攻,劫机者通过几个攻击媒介中的一个来控制受害者的帐户。尚未启用基于应用程序的表单多重身份验证因为他们的账户特别脆弱。例如,攻击者可以通过网络钓鱼.如果您没有多因素身份验证,你缺乏第二道防线。一旦得到控制,劫机者可以发送消息,也可以巧妙地更改您的帐户信息,包括您的用户名。您帐户的原始用户名现在可用,允许劫机者使用原始用户名注册帐户,同时提供不同的登录凭据。

新闻 故事.

6月19日发布,2017年上午6:44·查看评论188滚球网站

犯罪分子现在利用SS7漏洞入侵智能手机的双因素认证系统

我已经以前 书面的关于SS7电话路由系统中的严重漏洞。基本上,系统不验证消息。现在,罪犯正在使用它黑客基于智能手机的双因素认证系统:

简而言之,SS7的问题是网络相信你所说的一切.SS7特别用于数据漫游:当电话用户超出其提供商的覆盖范围时,消息仍然需要路由到它们。但是任何有SS7访问权限的人,大约1000欧元根据S护ddeutsche zeitung,可以发送路由请求,网络可能无法验证消息来自何处。

允许攻击者将目标的文本消息定向到另一个设备,而且,如果是银行账户,窃取登录或Greenlight转账所需的任何代码(黑客获得受害者密码后)。

5月10日发布,2017年上午6:50·查看评论188滚球网站

伊朗网络钓鱼

公民实验室报告关于伊朗对激进分子的黑客攻击,其中包括一个实时中间人攻击谷歌的双因素认证。

本报告描述了针对伊朗流离失所者目标的精心策划的网络钓鱼活动,至少一个西方活动家。正在进行的攻击试图绕过Gmail中双因素认证所赋予的额外保护,并且严重依赖于基于电话的网络钓鱼和攻击者的“实时”登录尝试。大多数攻击都是从一个英国电话号码开始的,攻击者用英语或波斯语说话。

攻击指向对目标活动的广泛了解,与先前与伊朗威胁行动者有关的活动分享基础设施和战术。我们已经记录了越来越多的此类攻击,收到报告称,我们无法确认目标和高度类似袭击的受害者,包括伊朗。该报告包括额外的细节,以帮助潜在目标识别类似的攻击。报告结尾有一些安全建议,强调双因素认证的重要性。

该报告引用了我之前关于双因素认证的弱点的文章:

研究人员观察了至少十年,对2FA有一系列攻击。布鲁斯施耐尔188滚球网站预计在2005年,例如,攻击者会利用中间人攻击来开发实时攻击,以及对设备的攻击。施耐尔预计的针对2FA的“实时”网络钓鱼至少被报告了188滚球网站9年前。

今天,研究人员经常指出“实时”2FA网络钓鱼的兴起,大部分都是在网络欺诈的背景下。2013年的一篇学术文章提供了其中几项的系统概述向量。这些攻击可以采取从设备窃取2FA凭证的形式(例如“浏览器中的人“攻击”,或者使用2FA登录页面。针对2FA的一些基于恶意软件的活动已经被跟踪几年,高度参与,并涉及说服目标安装单独的安卓系统用于捕获一次性密码的应用程序。这些攻击的另一类是利用电话号码更改SIM卡注册,和语音邮件受到严重保护

波音波音文章.黑客新闻线.

8月27日发布,2015年下午12:36·查看评论188滚球网站

巴西的骗子就是这样偷走了数十亿美元

中间人进攻针对巴西支付系统:

巴西的地下网络犯罪活动极为活跃和富有才华,越来越多的巴西有组织犯罪团伙将目光投向网上银行的博莱托用户。这通常是通过恶意软件完成的,该恶意软件处于等待状态,直到黑客PC的用户访问其银行网站并为Boleto交易的接收者填写帐户信息。在这种情况下,不知情的受害者提交转账支付,恶意软件通过替换攻击者控制的收件人帐户来修改请求。

这是一种绕过任何双因素认证系统的攻击,因为它发生在所有身份验证发生之后。辩护理由是向账户所有者拥有的另一台设备发送确认通知,确认交易的详细信息。

发表于7月9日,2014年上午7:30·查看评论188滚球网站

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是IBM弹性.