p A autenticação de dois fatores pode ser superada, como uma demonstração de hacker mostrou. Muita atenção está sendo dada a um vídeo postado em que Kevin Mitnick, ConhecidoBe4 chefe de hacking, revelou a exploração de dois fatores. p A autenticação de dois fatores é "uma camada extra de segurança que requer algo que um funcionário TEM e algo que ele SABE".

p "O núcleo do ataque vem em um e-mail de phishing, nesse caso, um supostamente enviado pelo LinkedIn, a um membro indicando que alguém está tentando se conectar com ele nessa rede social, "disse Doug Olenick, SC Magazine .

p O usuário obtém uma página de login falsa. O método de ataque é descrito no jargão de segurança como uma técnica de phishing de credenciais, que requer o uso de um domínio typo-squatting. A ideia é permitir que o usuário dê suas credenciais. Um hacker amigo de Kevin desenvolveu a ferramenta projetada para contornar a autenticação de dois fatores.

p Nesse tipo de ataque, o que se entende por domínio typo-squatting? É um truque, e o "squatting" reflete como ele cybersquat em outra entidade. Os usuários da Internet que usam o endereço deliberadamente incorreto com sua planta de erro tipográfico podem ser levados a um site alternativo executado por um hacker.

p Mitnick mostrou como tudo isso funciona, ao entrar em sua conta do gmail, por meio de um e-mail vinculado falso.

p Matthew Humphries, PCMag editor e repórter de notícias baseado no Reino Unido, disse no ataque, um e-mail parece ok em relação ao site que está sendo direcionado, "para que o destinatário não tenha tempo para verificar o domínio de onde foi enviado."

p Neste caso, o e-mail era de llnked.com, e não de linkedin.com - fácil de perder se você não estiver procurando por falsas declarações. Clicar no botão "Interessado" no e-mail leva o usuário a um site que se parece com a página de login do LinkedIn. Contudo, Mitnick mostrou que não era difícil simplesmente ir em frente e pegar os detalhes de um usuário do LinkedIn, "simplesmente redirecionando-os para um site que se parece com o LinkedIn e usando 2FA contra eles para roubar suas credenciais de login e acesso ao site, "disse Humphries.

p A demonstração usou o LinkedIn como exemplo, mas pode ser usado no Google, Facebook, e qualquer outra coisa que carregue um login de dois fatores; relatórios afirmam que a ferramenta pode ser "transformada em arma" para praticamente qualquer site.

p Interessantemente, foi no ano passado, quando Russell Brandom disse em The Verge que era "hora de ser honesto sobre seus limites" em referência à autenticação de dois fatores. Brandom fez um relato de como a promessa dos dois fatores começou a se desfazer logo no início, com os criadores de travessuras contornando-a. Ele disse, "tornou-se claro que a maioria dos sistemas de dois fatores não resiste a usuários sofisticados."

p Apesar disso, ele disse, na maioria dos casos, o problema não é o próprio fator duplo. É "tudo ao seu redor. Se você puder quebrar qualquer coisa ao lado desse login de dois fatores - seja o processo de recuperação de conta, dispositivos confiáveis, ou a conta da operadora subjacente - então você está de graça. "

p Um conselho óbvio, Contudo, foi oferecido e que deve estar atento aos links. Também, uma perspectiva sobre o que a autenticação de dois fatores é e o que não é é útil. É uma solução mais rígida do que um mecanismo básico apenas de senha. É uma camada extra de segurança. Mas como Stu Sjouwerman, CEO , KnowBe4, declarou :. "A autenticação de dois fatores se destina a ser uma camada extra de segurança, mas neste caso, vemos claramente que você não pode confiar apenas nisso para proteger sua organização. " p © 2018 Tech Xplore