KnowBe4首席黑客凯文·米特尼克在一段公共视频中展示了这一黑客方法。通过诱使受害者访问“LunkedIn.com”之类与著名网站长得很像的虚假域名,并捕获登录名、口令和验证码,黑客便可向真实网站传递凭证,收获会话cookie。
KnowBe4 CEO称,凯文的一位白帽子黑客朋友开发了一款利用社会工程方法绕过双因子身份验证的工具。该工具可武器化用于任意网站。双因子身份验证作为额外的安全层理应提供更强的安全保护。
在这一案例中,我们能明显看到,不能仅仅依靠双因子身份验证来保护你的公司。
白冒黑客库巴·格雷茨基创建了该名为evilginx的系统,并在其网站上细致阐述了该系统的实现。
反网络钓鱼教育非常重要,只要受害者了解安全,知道点击收件箱中链接可能带来的风险,此类攻击就绝不可能成功。
因为员工就是公司防御的最后一道防线,我们很有必要进行新式的安全意识培训和模拟网络钓鱼攻击。未来几周内,黑客将开始尝试这一新技术,用户和IT经理应多加注意,强化自身安全操作。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
