ビデオ: 新型レヴォーグ速報動画【Vol.3】STI Sport解説編・レヴォーグ(プロトタイプ)STI Sport NEW LEVORG PROTOTYPE (九月 2024)
Twitterの2ステッププログラム
認証会社ToopherのCEO、Josh Alexanderに、2要素認証が導入された今、Twitterをハッキングする方法を聞いてください。 彼は、2要素認証が登場する前とまったく同じ方法でそれを行うと言います。
アレクサンダーは、Twitterの2要素認証に関する短い動画で、「セキュリティ2ステッププログラム」に参加し、問題が存在することを認めて最初の一歩を踏み出したことをTwitterで祝福しています。 次に、SMSベースの2要素認証がどれほど役に立たないかを説明します。 「あなたの新しいソリューションはドアを大きく開いたままにします」とアレクサンダーは言いました。「主要なニュースソースや有名人の評判を損なったのと同じ中間者攻撃について。」
このプロセスは、ハッカーが説得力のあるメール、Twitterパスワードを変更するように勧めるメッセージ、偽のTwitterサイトへのリンクを送信することから始まります。 ハッカーは、取得したログイン資格情報を使用して実際のTwitterに接続します。 Twitterは私に確認コードを送信し、私はそれを入力し、それによってハッカーにそれを与えます。 この時点で、アカウントは予約されています。 ビデオを見る-プロセスを非常に明確に示しています。
Toopherが異なる種類のスマートフォンベースの2要素認証を提供していることは驚くことではありません。 Toopherソリューションは、通常の場所と通常のアクティビティを追跡し、通常のトランザクションを自動的に承認するように設定できます。 トランザクションを完了するためのコードをテキストで送信する代わりに、ユーザー名、サイト、関連するコンピューティングなどのトランザクションの詳細を含むプッシュ通知を送信します。 私はそれをテストしていませんが、賢明に見えます。
2要素テイクオーバーの回避
F-SecureのセキュリティロックスターMikko Hypponnenは、さらに悲惨なシナリオを想定しています。 2要素認証を有効にしていない場合、アカウントにアクセスできる悪意のあるユーザーが自分の電話を使用してアカウントを設定できます。
ブログの投稿で、Hypponenは、SMS経由でツイートを送信したことがある場合、アカウントに関連付けられた電話番号を既に持っていると指摘しています。 その関連付けを停止するのは簡単です。 単にあなたの国のTwitterショートコードにSTOPテキストを送信してください。 ただし、そうすると、2要素認証も停止することに注意してください。 GOを送信すると、再びオンになります。
これを念頭に置いて、ヒッポネンは恐ろしい一連の出来事を想定しています。 最初に、ハッカーはスピアフィッシングメッセージを介してアカウントにアクセスします。 次に、GOを自分の電話から適切な短いコードにテキストで送信し、いくつかのプロンプトに従って、2要素認証コードが自分の電話に届くようにアカウントを構成します。 ロックアウトされています。
既に二要素認証を有効にしている場合、この手法は機能しません。 「おそらく、アカウントの2FAを有効にする必要があります。他の誰かがあなたのためにそれを行う前に」とHypponenは提案しました。 攻撃者が最初にSMSスプーフィングを使用して2要素認証を停止し、その後攻撃を続行できなかった理由は完全にはわかりません。 ミッコよりも妄想的になれるかな?
