偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

新型網(wǎng)絡(luò)釣魚攻擊甚至能繞過 Instagram 2FA 驗(yàn)證!

作者:小王斯基
安全
一種新型網(wǎng)絡(luò)釣魚活動(dòng)偽裝成 "版權(quán)侵權(quán) "電子郵件,試圖竊取 Instagram 用戶的備份代碼,以幫助威脅攻擊者繞過賬戶上配置的雙因素身份驗(yàn)證(2FA)。

Bleeping Computer 網(wǎng)站消息,一種新型網(wǎng)絡(luò)釣魚活動(dòng)偽裝成 "版權(quán)侵權(quán) "電子郵件,試圖竊取 Instagram 用戶的備份代碼,以幫助威脅攻擊者繞過賬戶上配置的雙因素身份驗(yàn)證(2FA)。

雙因素身份驗(yàn)證是一種安全防護(hù)功能,要求用戶在登錄賬戶時(shí)輸入一種額外的驗(yàn)證形式,這種驗(yàn)證形式通常是通過短信發(fā)送一次性密碼、驗(yàn)證應(yīng)用程序的代碼或硬件安全密鑰。鑒于威脅攻擊者需要訪問用戶的移動(dòng)設(shè)備或電子郵件才能登錄受保護(hù)的賬戶,一旦用戶登錄憑據(jù)被盜,便可以使用 2FA 幫助保護(hù)賬戶安全。

在 Instagram 上配置雙因素身份驗(yàn)證時(shí),網(wǎng)站會(huì)提供八位數(shù)的備份代碼,如果無法使用 2FA 驗(yàn)證賬戶,用戶就可以使用這些代碼重新訪問賬戶。(用戶一般在更換手機(jī)號(hào)碼、丟失手機(jī)或無法訪問電子郵件帳戶才會(huì)使用該功能)

不過,備份代碼同樣有一定的安全風(fēng)險(xiǎn),如果威脅攻擊者能竊取這些代碼,只需知道受害目標(biāo)的憑據(jù),就能使用未識(shí)別的設(shè)備劫持 Instagram 賬戶,而且這些憑據(jù)通??梢酝ㄟ^網(wǎng)絡(luò)釣魚竊取,也可以在不相關(guān)的數(shù)據(jù)泄露中出現(xiàn)。

"版權(quán)侵權(quán) "電子釣魚郵件聲稱收件人發(fā)布了違反知識(shí)產(chǎn)權(quán)保護(hù)法的內(nèi)容,因此其賬戶受到限制,敦促收件人點(diǎn)擊某個(gè)按鈕對(duì)該決定提出上訴,從而將受害者重定向到釣魚網(wǎng)頁,在那里輸入賬戶憑據(jù)和其他詳細(xì)信息,這樣的”套路“已被威脅攻擊者多次使用。

新的 Instagram 網(wǎng)絡(luò)釣魚活動(dòng)

Trustwave 安全分析師發(fā)現(xiàn)了"版權(quán)侵權(quán) "電子釣魚郵件攻擊的最新變種,并表示由于 2FA 保護(hù)的采用率越來越高,促使網(wǎng)絡(luò)釣魚攻擊者開始不斷擴(kuò)大目標(biāo)范圍,最新發(fā)現(xiàn)的釣魚電子郵件假冒了 Instagram 的母公司 Met。在釣魚郵件中,威脅攻擊者向 Instagram 用戶發(fā)送版權(quán)侵權(quán)投訴通知,并提示用戶填寫申訴表以解決問題。

釣魚電子郵件(Trustwave)

此外,威脅攻擊者還會(huì)要求受害者點(diǎn)擊郵件中的某個(gè)按鈕,一旦按照指示操作,受害目標(biāo)會(huì)被”定向“到一個(gè)冒充 Meta 實(shí)際侵權(quán)門戶的釣魚網(wǎng)站,受害者會(huì)在該網(wǎng)站上點(diǎn)擊標(biāo)有 "轉(zhuǎn)到確認(rèn)表(確認(rèn)我的賬戶)"的第二個(gè)按鈕。

第二個(gè)按鈕會(huì)重定向到另一個(gè)仿冒 Meta "上訴中心 "門戶網(wǎng)站的網(wǎng)絡(luò)釣魚頁面,受害者需要在該頁面輸入用戶名和密碼(兩次)。在成功竊取這些用戶的詳細(xì)信息后,釣魚網(wǎng)站會(huì)詢問目標(biāo)用戶其賬戶是否受 2FA 保護(hù),并在確認(rèn)后要求輸入 8 位數(shù)的備份代碼。

仿冒帳戶的備份代碼(Trustwave)

值得注意的是,盡管"版權(quán)侵權(quán) "電子釣魚郵件呈現(xiàn)出了很明顯的欺詐跡象,例如發(fā)件人地址、重定向頁面和網(wǎng)絡(luò)釣魚頁面 URL,但其令人信服的設(shè)計(jì)和”緊迫感“仍會(huì)誘使相當(dāng)一部分目標(biāo)泄露賬戶登錄憑證和備份代碼。

最后,網(wǎng)絡(luò)安全專家強(qiáng)調(diào),Instagram 用戶應(yīng)該像對(duì)待密碼一樣重視備份代碼,做好保密工作,除非有必要訪問賬戶,否則不要在任何地方輸入。不僅如此,如果用戶仍然可以訪問 2FA 代碼/密鑰的話,那么除了在 Instagram 網(wǎng)站或應(yīng)用程序內(nèi)輸入備份代碼外,沒有任何理由在其他地方輸入備份代碼。

參考文章:https://www.bleepingcomputer.com/news/security/new-phishing-attack-steals-your-instagram-backup-codes-to-bypass-2fa/

責(zé)任編輯:趙寧寧 來源: FreeBuf.COM
網(wǎng)絡(luò)釣魚身份驗(yàn)證網(wǎng)絡(luò)安全
相關(guān)推薦

2022-08-12 12:02:43

網(wǎng)絡(luò)釣魚2FA

2021-12-30 21:31:58

釣魚工具包網(wǎng)絡(luò)犯罪身份驗(yàn)證

2021-04-09 08:11:30

網(wǎng)絡(luò)釣魚攻擊eSentire

2022-07-08 07:02:10

Python動(dòng)態(tài)碼OTP

2018-05-23 12:24:03

2024-01-25 12:54:47

2019-12-13 17:44:12

釣魚黑客電子商務(wù)

2022-02-23 15:43:31

網(wǎng)絡(luò)釣魚攻擊MFA

2022-06-28 15:07:59

惡意軟件網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊

2024-02-19 15:42:29

2025-03-25 14:39:37

2022-11-03 14:33:32

2017-09-13 23:28:01

2024-12-03 09:24:05

2024-05-24 14:39:33

2015-12-16 11:15:01

2023-08-07 07:53:51

2017-09-14 15:16:56

2021-10-03 15:50:06

網(wǎng)絡(luò)釣魚病毒黑客

2010-08-31 13:05:25

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)