Tout ce dont vous avez besoin est un utilisateur qui ne vérifie pas les noms de domaine avant de cliquer.Les mots de passe restent toujours une fonctionnalité de sécurité que nous devons tous gérer. Les gérer est devenu plus facile grâce à l'introduction de gestionnaires de mots de passe, mais ils ne sont pas parfaits. L'authentification à deux facteurs (2FA) est considérée comme un moyen d'améliorer considérablement la sécurité, mais il s'avère que la contournement est assez simple.Comme le rapporte TechCrunch, Kevin Mitnick est Chief Hacking Officer à la société KnowBe4 de formation à la sensibilisation à la sécurité. Dans la vidéo , il montre à quel point il est facile de saisir les détails d'un utilisateur LinkedIn simplement en les redirigeant vers un site Web ressemblant à LinkedIn et en utilisant 2FA pour lui voler ses identifiants de connexion et son accès au site. L'outil Evilginx que Kevin a utilisé pour l'aider à le faire a été créé par le chercheur en sécurité Kuba Gretzky, qui a expliqué comment le bypass fonctionne dans un article sur breakdev.org.L'attaque est simple. Il nécessite un e-mail qui semble "correct" pour le site Web ciblé afin que le destinataire ne prenne pas le temps de vérifier le domaine à partir duquel il a été envoyé. Dans l'exemple ci-dessus, l'email provient en fait de llnked.com plutôt que LinkedIn.com.Si vous cliquez sur le bouton "Intéressé" dans l'e-mail, l'internaute accède à un site Web qui ressemble à la page de connexion Linkedin, mais qui se trouve sur le domaine llnked.com. C'est un autre point auquel un utilisateur suspect va s'arrêter, mais la plupart sont juste impatients de se rendre sur le site. Donc, ils remplissent les détails et cliquez sur Connexion. Cela déclenche la vérification 2FA, qui, lorsque le bon code est entré, crée un cookie de session permettant un accès sécurisé au site.en relation
Authentification à deux facteurs: qui l'a et comment l'organiser;Pendant ce processus, il est possible de voler le nom d'utilisateur, le mot de passe et le cookie de session pour le compte LinkedIn. À ce stade, le nom d'utilisateur et le mot de passe ne sont même pas nécessaires. Mitnick charge simplement le navigateur Chrome, visite LinkedIn, ouvre les outils de développement du navigateur, colle le cookie de session dans la console, puis rafraîchit sur LinkedIn. L'accès est alors accordé.Ce que Mitnick essaie de montrer ici est, même avec 2FA, l'utilisateur est le maillon faible. S'ils ne prennent pas le temps de vérifier où ils entrent leurs informations sécurisées, aucune sécurité dépendant de l'utilisateur, aussi forte soit-elle, ne fonctionnera.
REF.:
Aucun commentaire:
Publier un commentaire