Старший хакер компании KNowBe4 Кевин Митник рассказал о том, как злоумышленники могут обходить двухфакторную систему аутентификации и проникать в чужие аккаунты. Взлом достигается хитроумным инструментом в сочетании с социальной инженерией.
Хакер создаёт поддельный сайт, заманивает на него пользователем и крадёт логин, пароль и код двухфакторной аутентификации. Затем он передаёт эти данные легитимному сайту и перехватывает куки. После этого он может залогиниться в чужую учётную запись, поскольку для входа в неё требуются тот же самый одноразовый код, который был создан для настоящего пользователя.
Друг Митника создал инструмент, с помощью которого можно подделать любой сайт и перехватить на нём данные, необходимые для входа в учётную запись, защищённую двухфакторной аутентификацией. Самая главная сложность — заманить пользователя на фейковый сайт, и именно для этого требуются навыки социальной инженерии.

Источник: iguides.ru