보안 감시 트위터의 2 단계 인증을 해킹하는 방법

트위터의 2 단계 인증을 해킹하는 방법

비디오: I Believe I can fly lyrics (12 월 2024)

비디오: I Believe I can fly lyrics (12 월 2024)
Anonim

우리는 트위터의 새로운 2 단계 인증에 문제가 있음을 지적했습니다. 예를 들어, 하나의 전화 번호 만 계정과 연결될 수 있기 때문에 Twitter의 2 단계 인증은 AP 통신, 양파 또는 가디언과 같은 조직에서는 작동하지 않습니다. 그들은 해킹 당했다. 그들은 여전히 ​​같은 방식으로 해킹 당할 수 있습니다. 그러나 보안 전문가들은 문제가 그것보다 훨씬 나쁘다는 것을 나타냅니다.

트위터의 2 단계 프로그램

인증 회사 인 Toopher의 CEO 인 Josh Alexander에게 2 단계 인증이 적용되어 Twitter를 해킹하는 방법에 대해 문의하십시오. 그는 2 단계 인증이 출현하기 전과 똑같은 방식으로 수행한다고 알려줄 것입니다.

Alexander의 Twitter 2 단계 인증에 대한 짧은 동영상에서 Alexander는 "보안 2 단계 프로그램"에 참여하고 첫 단계를 밟아 문제가 있음을 인정한 Twitter를 축하합니다. 그런 다음 SMS 기반 2 단계 인증이 얼마나 도움이되는지 설명합니다. 알렉산더는“새로운 솔루션은 문을 활짝 열어두고 주요 뉴스 매체와 유명인들의 명성을 훼손한 것과 같은 중간자 공격에 대해 말했다”고 말했다.

이 프로세스는 해커가 설득력있는 이메일을 보내는 것으로 시작합니다. 가짜 트위터 사이트 링크와 함께 트위터 비밀번호를 변경하라는 메시지가 표시됩니다. 일단 해커는 캡처 된 로그인 자격 증명을 사용하여 실제 트위터와 연결합니다. Twitter가 인증 코드를 보내면 입력하여 해커에게 제공합니다. 이 시점에서 계정이 차감됩니다. 비디오를보십시오 - 과정을 매우 명확하게 보여줍니다.

Toopher가 다른 종류의 스마트 폰 기반 2 단계 인증을 제공한다는 것은 놀라운 일이 아닙니다. Toopher 솔루션은 일반적인 위치와 일반적인 활동을 추적하고 일반적인 거래를 자동으로 승인하도록 설정할 수 있습니다. 거래를 완료하기 위해 코드를 문자 메시지로 보내는 대신 사용자 이름, 사이트 및 관련 계산을 포함하여 거래 세부 정보가 포함 된 푸시 알림을 보냅니다. 나는 그것을 테스트하지 않았지만 합리적인 것으로 보인다.

2 단계 인수를 피하십시오

F-Secure의 보안 락스타 Mikko Hypponnen은 훨씬 더 무서운 시나리오를 제시합니다. 2 단계 인증을 사용하도록 설정하지 않은 경우 계정에 액세스 할 수있는 남성 요소는 자신의 전화를 사용하여 계정을 설정할 수 있습니다.

블로그 게시물에서 Hypponen은 SMS를 통해 트윗을 보내면 이미 계정과 연결된 전화 번호가 있다고 지적합니다. 그 관계를 중단하는 것은 쉽습니다. 해당 국가의 Twitter 짧은 코드에 STOP 문자를 보내기 만하면됩니다. 그러나 그렇게하면 2 단계 인증도 중단됩니다. GO를 보내면 다시 켭니다.

이를 염두에두고 Hypponen은 무서운 일련의 사건을 제기합니다. 먼저 해커가 스피어 피싱 메시지를 통해 계정에 액세스 할 수 있습니다. 그런 다음 자신의 전화기에서 적절한 단축 코드로 GO에 문자 메시지를 보내고 몇 가지 프롬프트를 따르면 2 단계 인증 코드가 전화기에 오도록 계정을 구성합니다. 당신은 잠겨 있습니다.

이미 이중 인증을 사용하도록 설정 한 경우이 기술이 작동하지 않습니다. Hypponen은 "아마도 다른 사람이 대신하기 전에 계정의 2FA를 사용하도록 설정해야합니다."라고 말합니다. 공격자가 SMS 스푸핑을 사용하여 2 단계 인증을 중지 한 다음 공격을 진행할 수없는 이유는 확실하지 않습니다. Mikko보다 더 편집증이 될 수 있습니까?

트위터의 2 단계 인증을 해킹하는 방법