Bao giờ thì có bảo mật 3 bước?

Đã tìm ra cách qua mặt xác thực hai yếu tố của Gmail

Báo cáo bảo mật mới lưu ý rằng tin tặc đã bắt đầu sử dụng quy trình tự động, bằng cách đầu tiên là lừa đảo mật khẩu của bạn từ một trang web lừa đảo, sau đó gửi mật khẩu cho Gmail, kích hoạt tin nhắn văn bản hai yếu tố và cuối cùng bạn gửi tin nhắn đó vào trang web lừa đảo.

Xác thực hai yếu tố được ca ngợi là một bước tiến đáng kể trong việc bảo mật trực tuyến, cho phép đăng nhập một cách tự tin vào các trang web như Gmail. Các trang web trước đây yêu cầu mật khẩu không an toàn giờ cần mật khẩu phức tạp với hình thức xác thực thứ hai từ thiết bị di động hoặc triển khai các hệ thống hai yếu tố khác. Tuy nhiên, giống với mọi thứ khác, xác thực hai yếu tố không phải không có lỗ hổng và một báo cáo mới đã cho biết chi tiết cách tin tặc lừa đảo phương thức xác thực hai yếu tố này.

Xác thực bằng hệ thống hai yếu tố gồm hai bước, yêu cầu người dùng nhập cả mật khẩu và mã, thường được gửi đến thiết bị di động. Tùy chọn bảo mật này thực sự giúp ngăn chặn tin tặc truy cập vào tài khoản người dùng nếu họ chỉ có quyền truy cập vào một yếu tố, chẳng hạn như mật khẩu của bạn, nếu dữ liệu của trang web bị vi phạm. Nhưng, nếu bạn vô tình đưa mã hai yếu tố của mình cho một cá nhân hoặc trang web độc hại, hệ thống đã bị đánh bại.
Báo cáo bảo mật mới lưu ý rằng tin tặc đã bắt đầu sử dụng quy trình tự động, bằng cách đầu tiên là lừa đảo mật khẩu của bạn từ một trang web lừa đảo, sau đó gửi mật khẩu cho Gmail, kích hoạt tin nhắn văn bản hai yếu tố và cuối cùng bạn gửi tin nhắn đó vào trang web lừa đảo.



Bởi vì một số hệ thống không yêu cầu người dùng xác thực lại để tắt hai yếu tố, tin tặc sau đó có thể nhanh chóng bỏ bước xác thực hai yếu tố này ngay trong tài khoản của bạn. Ngay cả khi không kiểm soát hoàn toàn tài khoản, tin tặc có thể tạo mật khẩu dành riêng cho ứng dụng, mật khẩu phụ có thể được sử dụng để truy cập tài khoản hai yếu tố mà không cần xác thực lại mỗi lần.

Trong suốt năm 2017 và 2018, tin tặc đã nhắm mục tiêu hơn một nghìn tài khoản Google và Yahoo trên khắp Trung Đông và Bắc Phi. Khi thử nghiệm, các chuyên gia phát hiện ra rằng thiết lập điện thoại thông minh để thử nghiệm hệ thống lừa đảo thực sự đã nhận được một tin nhắn văn bản chính hãng từ máy chủ Google để xác thực liên quan đến trang web độc hại.

Mặc dù thông tin này không phải là lý do để bạn từ bỏ bất kỳ hệ thống hai yếu tố nào đang sử dụng, chúng tôi vẫn khuyên bạn nên cẩn thận với các loại tài khoản, mặc dù bạn đã dùng xác thực hai yếu tố.
ICTNews (Theo Digital Trends)

https://ictnews.vn/cntt/bao-mat/hac...-mat-xac-thuc-hai-yeu-to-cua-gmail-176596.ict

 

Xài cái Authenticator thì sao nhỉ

 

Vẫn vậy vì nó đăng nhập cùng lúc với mình trong thời gian thực nên mình nhập vào là nó biết luôn. Một biện pháp bảo mật khác là dùng khóa phần cứng.

 

Sao Nô cái éo j cũng bít. Hay dzạ.

 

không hiểu lắm, mã OTP gửi đến điện thoại mình, mình điền vào thì mình mới vào được, sao hacker lại vào được là sao? lỗi tại ai?

 

Quan trọng cái thằng customer có hiểu biết hay không thôi. Chứ đã ngu thì có n bước vẫn mất

 

Lỗi của mình mình gửi OTP cho nó đăng nhập

 

Tượu chung là không đăng nhập bậy bạ lung tung là safe đúng hơm

 

viết dài dòng mình đọc cứ tưởng chắc có gì thâm sâu @@

có những người thông minh đến nỗi nó xin cái mã otp cũng đưa luôn , trình cỡ đó thì có bảo mật 300 bước chắc cũng chả cứu được

 

ta nghĩ là nó hack tài khoản gmail trước rồi tắt bảo mật 2 lớp đi thôi :v

 

Cảm giác dịch bựa nên đọc 1 lèo ko hiểu nó nói chuyện gì.

Bài gốc dễ hiểu hơn: https://www.digitaltrends.com/computing/hackers-bypass-two-factor-authentication-gmail/

 

trong bài báo nó nói là website giả

cái này để lừa gà ý mà, bài báo k có giá trị gì cả vì đó k phải là "qua mặt" cả một hệ thống mà đơn giản là lừa người dùng ngu ngơ thôi.

tức là ví dụ ông nhầm 1 website giả là website chính thức, giao diện giống, tên miền gần giống, ông đăng nhập vào, rồi ông mua hàng, lúc chuyển tiền thì gửi mã OTP về thì cái website giả đó yêu cầu nhập mã OTP, ông nhập mã OTP vừa gửi vào website giả đó thì bọn nó biết OTP.

nói chung là chiêu lừa rất là cũ rồi, cái này mà nói là cách "qua mặt" thì k hề đúng.

 

Nó fake cả trang nhập otp nên mình nhập otp thực chất là gửi mã cho nó. Sau đó nó vào tắt authen thế là ăn lô. Giờ đi đâu cũng phải bó cẩn mệt phết

 

dm bây giờ trên iOS có mấy cái ứng dụng trừ tiền cực kỳ bố láo, thành ra giờ chả dám cài lung tung như xưa nữa

 

mấy nay cách 2 3 bữa lại thấy google tự gửi authenticator vào dt dù đếch login vào mịa gì, bị 2 lần liền

 

Và nhiều người tưởng là Gmail bị hack, bảo mật kém blah blah.

 

Phishing xưa như trái đất mà viết như là tìm ra chân lỳ

 

Lều báo
Như này bảo mật tỉ lớp cũng chết

 

ủa trò này thì bọn nó ohải nghĩ ra lâu r chứ nhề

 

lâu lắc rồi