Video: AMONG US, but HACKER Impostor (Tháng Chín 2024)
Từ vùng đất " nếu chỉ có nhau " Nếu Associated Press đã thiết lập xác thực hai yếu tố với tài khoản Twitter của mình, thì tin tặc thân Syria sẽ không thể chiếm đoạt tài khoản và phá hoại tài khoản.
Ý tưởng đẹp và gọn gàng, nhưng trong thực tế, không. Mặc dù xác thực hai yếu tố là một công cụ mạnh mẽ để bảo mật tài khoản người dùng, nhưng nó không thể giải quyết tất cả các vấn đề. Có hai yếu tố sẽ không giúp ích gì cho @AP vì tin tặc đã đột nhập thông qua một cuộc tấn công lừa đảo. Đối thủ sẽ chỉ tìm một cách khác để lừa người dùng bỏ qua lớp bảo mật, Aaron Higbee, CTO của PhishMe cho biết.
Hôm thứ ba, tin tặc thân Syria đã chiếm đoạt tài khoản AP Twitter và đăng một cảnh báo tin tức giả mạo về vụ nổ tại Nhà Trắng và tổng thống đã bị thương. Trong ba hoặc bốn phút trước khi các nhân viên của AP tìm ra điều gì đã xảy ra và nói rằng câu chuyện là sai, các nhà đầu tư đã hoảng loạn và khiến chỉ số công nghiệp trung bình của Dow Jones giảm hơn 148 điểm. Bloomberg News ước tính mức giảm "xóa sổ" 136 tỷ USD từ chỉ số S & P 500.
Có thể dự đoán, một số chuyên gia bảo mật đã ngay lập tức chỉ trích Twitter vì không cung cấp xác thực hai yếu tố. "Twitter thực sự cần phải nhanh chóng triển khai xác thực hai yếu tố. Họ đang đi sau thị trường về vấn đề này", Andrew Storms, giám đốc hoạt động bảo mật tại nCircle, cho biết trong một email.
Nhóm so với tài khoản cá nhân
Xác thực hai yếu tố khiến kẻ tấn công khó chiếm quyền điều khiển tài khoản người dùng bằng các phương pháp vũ phu hoặc đánh cắp mật khẩu thông qua các phương pháp kỹ thuật xã hội. Nó cũng cho rằng chỉ có một người dùng cho mỗi tài khoản.
Sean Sullivan, nhà nghiên cứu bảo mật của F-Secure, nói: "Xác thực hai yếu tố và các biện pháp khác sẽ giúp giảm hack cho các tài khoản cá nhân. Nhưng không phải là tài khoản nhóm".
AP, giống như nhiều tổ chức khác, có thể có nhiều nhân viên đăng lên @AP suốt cả ngày. Điều gì sẽ xảy ra bất cứ khi nào ai đó cố gắng đăng lên Twitter? Mọi nỗ lực đăng nhập đều yêu cầu người có thiết bị đã đăng ký, cho dù đó là điện thoại thông minh hay mã thông báo phần cứng, để cung cấp mã yếu tố thứ hai. Tùy thuộc vào cơ chế tại chỗ, điều này có thể là mỗi ngày, mỗi vài ngày hoặc bất cứ khi nào một thiết bị mới được thêm vào.
"Nó trở thành một rào cản khá quan trọng đối với năng suất", Jim Fenton, CSO của OneID, nói với SecurityWatch .
Nói rằng tôi muốn đăng lên @SecurityWatch. Tôi sẽ phải nhắn tin hoặc gọi cho đồng nghiệp đã "sở hữu" tài khoản để lấy mã hai yếu tố. Hoặc tôi đã không phải đăng nhập trong 30 ngày vì máy tính xách tay của tôi là thiết bị được ủy quyền, nhưng bây giờ là ngày thứ 31. Và cuối tuần. Hãy tưởng tượng các mỏ khai thác kỹ thuật xã hội tiềm năng.
"Nói một cách đơn giản, xác thực hai yếu tố sẽ không đủ để bảo vệ con người", Sullivan nói.
Xác thực hai yếu tố không phải là thuốc chữa bệnh
Xác thực hai yếu tố là một điều tốt, một công cụ mạnh mẽ, nhưng nó không thể làm mọi thứ, như ngăn chặn các cuộc tấn công lừa đảo, Fenton nói. Trên thực tế, theo các giải pháp xác thực hai yếu tố phổ biến, người dùng có thể dễ dàng bị lừa để xác thực quyền truy cập mà không nhận ra điều đó, Fenton nói.
Hãy tưởng tượng nếu tôi nhắn tin cho sếp của tôi: Không thể đăng nhập vào @securitywatch. Gửi cho tôi một mã số?
Xác thực hai yếu tố khiến việc lừa đảo tài khoản trở nên khó khăn hơn, nhưng không ngăn được cuộc tấn công thành công, Higbee của PhishMe nói. Trên blog của công ty, PhishMe đã minh họa cách lừa đảo bỏ qua hai yếu tố chỉ thu hẹp cửa sổ tấn công.
Đầu tiên, người dùng nhấp vào liên kết trong email lừa đảo, truy cập trang đăng nhập và nhập mật khẩu phù hợp và mã hai yếu tố hợp lệ trên Trang web giả mạo. Tại thời điểm này, kẻ tấn công chỉ cần đăng nhập trước khi thông tin đăng nhập hợp lệ hết hạn. Các tổ chức sử dụng mã thông báo RSA có thể tạo lại mã sau mỗi 30 giây, nhưng đối với một trang web truyền thông xã hội, thời gian hết hạn có thể là vài giờ hoặc vài ngày.
"Điều này không có nghĩa là Twitter không nên thực hiện một lớp xác thực mạnh mẽ hơn, nhưng nó cũng đặt ra câu hỏi là nó nên đi bao xa?" Higbee cho biết, thêm rằng Twitter ban đầu không được thiết kế để sử dụng nhóm.
Đặt lại là một vấn đề lớn hơn
Việc thực hiện xác thực hai yếu tố ở cửa trước sẽ không có nghĩa là ngồi xổm nếu cửa sau có khóa mỏng manh, quá trình thiết lập lại mật khẩu yếu. Việc sử dụng các bí mật được chia sẻ, như tên thời con gái của mẹ bạn, để tạo và phục hồi quyền truy cập tài khoản "là gót chân Achilles của các hoạt động xác thực ngày nay", Fenton nói.
Khi kẻ tấn công biết tên người dùng, việc đặt lại mật khẩu chỉ là vấn đề chặn email đặt lại. Điều này có thể có nghĩa là xâm nhập vào tài khoản email, điều này rất có thể xảy ra.
Mặc dù các câu hỏi gợi ý mật khẩu có vấn đề riêng của họ, Twitter thậm chí không cung cấp chúng như một phần của quy trình đặt lại. Tất cả bất cứ ai cần là tên người dùng. Mặc dù có một tùy chọn "yêu cầu thông tin cá nhân để đặt lại mật khẩu của tôi", nhưng thông tin bổ sung duy nhất được yêu cầu là địa chỉ email và số điện thoại có thể dễ dàng lấy được.
"Các tài khoản Twitter sẽ tiếp tục bị hack và Twitter cần phải làm một số điều để bảo vệ người dùng của mình - không chỉ là hai yếu tố", Sullivan nói.
