جعل احراز هویت دومرحله ای (۲FA) توسط هکرکلاه سفید

0
162

تکنیک های مهندسی اجتماعی همیشه راحت ترین روش برای هکرها جهت نفوذ می باشند. هکرها با استفاده از این تاکتیک ها قربانی را وادار می کنند که اطلاعات مفیدی از جمله اطلاعات احراز هویتی خود را به نفوذگر بدهند.

هکرهای کلاه سفید نیز از این تاکتیک ها برای نفوذ به جهت مقصود خوب استفاده می کنند. اخیرا kevin mitnick در یک ویدئو از یک اکسپلویت جدید جهت عبور از احرازهویت دو مرحله ای linkedin استفاده میکند.

وقتی که احرازهویت دو مرحله ای فعال باشد کاربر هنگام ورود باید یک کد را وارد کند. این کد به عنوان یک لایه امنیتی اضافه جهت احرازهویت کاربر برای او از طریق email یا sms ارسال میشود.

با استفاده از یک ابزار به نام Evilginx که توسط هکرکلاه سفید Kuba Gretzky توسعه داده شده mitnick با ارسال کاربر به یک صفحه ورود جعلی از احرازهویت دومرحله ای عبور میکند.

در این تکنیک با متقاعد کردن کاربر به مشاهده وب سایت جعلی و گرفتن رمز عبور و کد احرازهویت هکر میتواند این اطلاعات را به وب سایت اصلی منتقل کند و کوکی جلسه (session cookie) را ضبط کند. وقتی که این عملیات انجام شد نفوذگر میتواند بدون هیچ مشکلی وارد شود.

با وجود لایه امنیتی اضافه در احراز هویت دو مرحله ای این تکنولوژی هنوز ضعف های درونی دارد که هکرها میتوانند از آنها سواستفاده کنند. از روش هایی قابل اعتمادتر برای احراز هویت دو مرحله ای میتوان از سخت افزارهایی مانند Yubikey یا نرم افزارهایی مانند google authenticator نام برد.