Haben Sie schon von Zwei-Faktor-Authentifizierung gehört? Auch bekannt als 2FA oder 2-Schritt-Verifizierung, es ist eine Technologie, die sich um seit geraumer Zeit gewesen.
patentierte in 1984, 2FA liefert Identifikation von Benutzern basierend auf der Kombination von zwei verschiedenen Komponenten. In den letzten Jahren, 2FA wurde als eine sichere Art und Weise der Benutzeridentifikation angesehen. Jedoch, jüngste Forscher können nur diesen Glauben als falsch erweisen.
Die verschiedenen Arten von Social Engineering kann leicht den Benutzer verleiten, ihre Authentifizierungscodes bestätigt. Wie konnte dies geschehen? Nach Nasir Memon, Informatik-Professor an Tandon School of Engineering, die Gauner müßten einfach den Benutzer für den amtlichen Bestätigungscode fragen.
Wie? Durch eine zweite Sende, verfälschte SMS oder E-Mail den Benutzer auffordert, das Original zu übermitteln. Prof. Memon hat dies mehrfach geschehen gesehen. Diese Art von 2FA ist vor allem über das Internet verwendet, um die Identität eines Benutzers zu überprüfen, die ihr Passwort verloren. Solche Codes werden in der Regel in einer E-Mail Hyperlink eingebettet.
Um zu beweisen, dass 2FA tatsächlich unzuverlässig, Prof. Memon zusammen mit seinen Kollegen Hossein Siadati und Toan Nguyen, ein Papier auf der Grundlage ihrer Experimente veröffentlicht, die 2FA Probleme im Zusammenhang illustriert. Wie sich herausstellt, 2FA ist vor allem ein Problem in SMS-Kommunikation.
Was ist SMS-basierten 2-Faktor-Authentifizierung?
SMS-basierte Verifikation ist eine Teilmenge von Zwei-Faktor-Authentifizierung (2FA) Mechanismen, wo ein Einmalpasswort als ein zweiter Faktor für die Authentifizierung verwendet wird,. SMS-basierte Verifikation ist nicht in der Lage Sicherheit gegen einen Phishing-Angriff zu schaffen. Das Argument ist, dass in einem erfolgreichen Phishing-Angriff, der Angreifer ein Opfer lockt das Einmalpasswort als auch eingeben. Dieser Angriff wird von Angreifern in der freien Natur im Einsatz.
Ähnliche Beiträge: Top 5 Cyber-Angriffe Gestartet von Spear Phishing
Das Experiment
Um ihren Standpunkt zu beweisen, die Forscher sammelte eine Gruppe von 20 Handy-Nutzer nur um zu entdecken, dass ein Viertel sofort die Bestätigungs-E-Mail weiterleiten, wenn Sie dazu aufgefordert.
Was die Forscher tat, ist imitieren eine VCFA (Verifikations-Code Forwarding Angriff) Angriff, ein Begriff, der sie für den Anlass von Cyber-Gaunern gestalteten Nutzer in Social-Engineering-Systeme anlocken 2FA Beteiligung.
So, hier ist das, was während des VCFA auf das geschah 20 mobile Nutzer:
[…] wir imitiert einen VCFA Angriff Nachrichten mit ähnlich wie Google Bestätigungscode Nachrichten. Wir kauften zwei 10-stellige Telefonnummern U.S.A., ein für die Rolle eines Dienstleisters zu imitieren (z.B., Google in unserem Experiment) und die andere für die Rolle des Angreifers zu imitieren (z.B., Senden Phishing-Nachricht an Themen). Die Vorwahl für die Telefonnummern waren Mountain View, CA (Vorwahl für die Google-Zentrale) die erste Nachricht zu erscheinen legitim und die zweite trügerische. Wir zufällig ausgewählt 20 Themen aus der Kontaktliste der Experimentatoren. Die Themen enthalten 10 Männchen und 10 Weibchen, meist im Alter zwischen 25-35. 70% Studenten der Probanden waren. [...] Wir schickten zwei Nachrichten zu jedem Thema von zwei verschiedenen Zahlen. [...] 5 von 20 Subjekten übermittelte die Prüfcodes. Dies wird übersetzt 25% Erfolg für den VCFA Angriff.
Wenn VCFA Angriffe geschehen in einem E-Mail-Ökosystem, es ist für den Benutzer einfacher zu bestimmen, ob eine Nachricht wahr oder Fälschung. Jedoch, in SMS, es ist viel schwieriger, den Unterschied zu erzählen. Mit anderen Worten, SMS ist keine E-Mail-Nachricht wie in dem der Benutzer einen guten Blick auf die Adresse des Absenders haben und stellen Sie sicher, es ist real.
Schauen Sie sich die ganze Forschung.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: