Un Phisher a piraté l'authentification à deux facteurs de Gmail

débranché

ParJack Busch

Dernière mise à jour le18 novembre 2019

Chez groovyPost, nous poussons constamment l'authentification en 2 étapes pour sécuriser vos comptes en ligne. J'utilise Authentification Gmail à 2 facteurs depuis un certain temps et je dois dire que cela me fait me sentir très en sécurité. Pour ceux qui ne l'utilisent pas, l'authentification en 2 étapes signifie que vous devez utiliser votre mot de passe pour vous connecter et un autre code unique (généralement envoyé par SMS, appel téléphonique ou une application comme Google Authenticator). C'est vrai, c'est un peu pénible, mais ça en vaut la peine pour moi. J'ai en fait vu des cas où cela bloquait une tentative de piratage (c'est-à-dire que j'avais des SMS à 2 facteurs sur mon téléphone lorsque je n'essayais pas de me connecter, ce qui signifie que quelqu'un a correctement entré mon mot de passe).

Donc, l'autre semaine, cela m'a choqué quand j'ai entendu sur le podcast Répondre à tous qu'un pirate avait réussi à hameçonner quelqu'un en utilisant la vérification Gmail en deux étapes. C'était dans l'épisode intitulé Quel genre d'idiot obtient hameçonné? C'est un grand épisode, donc je ne vais pas vous le gâcher en vous disant qui était "l'idiot", mais je vais vous dire quelques-uns des trucs qu'ils ont utilisés.

1. Noms de domaine similaires

Le pirate avait la permission des producteurs de l'émission pour essayer de pirater le personnel. Mais ils n'avaient aucun accès privilégié à leurs serveurs. Mais la première étape pour contrôler leurs cibles était d'usurper l'adresse e-mail d'un collègue. Vous voyez, la personne dont ils ont usurpé l'e-mail était:

[email protected]

L'adresse e-mail utilisée par le phishing était la suivante:

[email protected]

Pouvez-vous faire la différence? Selon la police, vous n'avez peut-être pas remarqué que le mot «média» dans le nom de domaine est en fait orthographié r-n-e-d-i-a. Le r et le n fumé ensemble ressemblent à un m. Le domaine était légitime, il n'aurait donc pas été détecté par un filtre anti-spam.

2. Convaincre les pièces jointes et le corps du texte

La partie la plus délicate de l'e-mail de phishing était qu'il semblait extrêmement légitime. La plupart du temps, vous pouvez repérer un e-mail louche à un kilomètre de distance par ses caractères étranges et son anglais brisé. Mais ce phishing prétendait être un producteur envoyant un morceau audio à une équipe pour le montage et l'approbation. Couplé au nom de domaine convaincant, il semblait très crédible.

3. Fausse page de connexion Gmail en 2 étapes

C'était la plus délicate. Ainsi, l'une des pièces jointes envoyées était un PDF dans Google Docs. C'est du moins ce qu'il semblait. Lorsque la victime a cliqué sur la pièce jointe, cela l'a incitée à se connecter à Google Documents, comme vous devez parfois le faire même lorsque vous êtes déjà connecté à Gmail (ou du moins il semble).

Et voici la partie intelligente.

Le phishing a créé une fausse page de connexion qui a envoyé un réel Demande d'authentification à 2 facteurs au vrai serveur de Google, même si la page de connexion était complètement fausse. Ainsi, la victime a reçu un message texte comme d'habitude, puis à l'invite, mettez-le dans la fausse page de connexion. Le phishing a ensuite utilisé ces informations pour accéder à son compte Gmail.

Phishing.

Donc, cela signifie-t-il que l'authentification à 2 facteurs est rompue?

Je ne dis pas que l'authentification en 2 étapes ne fait pas son travail. Je me sens toujours plus en sécurité et plus en sécurité avec le facteur 2 activé, et je vais continuer comme ça. Mais entendre cet épisode m'a fait réaliser que je suis toujours vulnérable. Alors, considérez cela comme un récit édifiant. Ne soyez pas trop confiant et couchez-vous sur les mesures de sécurité pour vous protéger de l'inimaginable.

Oh, au fait, le pirate de génie de l'histoire est: @DanielBoteanu

Utilisez-vous l'authentification en deux étapes? Quelles autres mesures de sécurité utilisez-vous?