هک تایید هویت دو مرحله ای ؛ آشکار شدن نقض های امنیتی

عده‌ای تایید هویت دو مرحله‌ای را روشی عالی برای جلوگیری از هک شدن می‌دانند اما باید گفت که هک تایید هویت دو مرحله ای هم به راحتی امکان پذیر است.

به گزارش تکراتو، نقص های امنیتی تایید هیت دو مرحله‌ای رفته رفته در حال آشکار شدن است. این مشکل می‌تواند هک تایید هویت دو مرحله ای را ممکن کند.

کوین میتنیک، مسئول ارشد هک کمپانی امنیتی  KnowBe4 که یکی از طرفداران پر و پا قرص سیستم تایید هویت دو مرحله‌ای است، با انتشار یک ویدئو چگونگی استفاده از این سیستم برای هک حساب کاربری لینکدین را نشان داده است.


بیشتر بخوانید: تایید هویت دو مرحله ای در اینستاگرام ؛ روش جدیدی برای افزایش امنیت


نحوه هک تایید هویت دو مرحله ای

در این روش که از اصول فیشینگ استفاده شده، به ایمیلی که شبیه به سایت اصلی باشد، نیاز است. در این مثال از آدرس LinkedIn.com  نباید استفاده شود و به جای آن از آدرس llnked.com  استفاده شده است. در ادامه کاربر روی لینک موجود در ایمیل کلیک کرده و وارد سایت Linkedin اما با دامنه llnked  می‌شود. برخی کاربران هوشیار متوجه می‌شوند اما بعضی نه.

به محض ورود اطلاعات کاربری و کیک روی Sign in تایید هویت دو مرحله ای فعال شده و کوکی موقتی برای دسترسی ایمن به سایت ایجاد می‌شود. در ادامه می تواند نام کاربری، رمز عبور و کوکی را سرقت کند، البته در این مرحله به نام کاربری و رمز عبور نیازی نیست.

میتنیک برای ورود به حساب کاربری، سایت اصلی لینکدین را باز کرده و کوکی موقت را در قسمت ابزارهای توسعه دهندگان مرورگر کپی کرده است. بدین ترتیب با رفرش صفحه، دسترسی به حساب کاربری فراهم می‌شود.

هدف میتنیک از انتشار این ویدئو این است که ثابت کند هک تایید هویت دو مرحله ای امکان پذیر است.

 

بیشتر بخوانید:

.

آیا در زمینه ای تخصص و تجربه کافی را دارید؟ دانش خود را با کاربران تکراتو به اشتراک بگذارید. برای کسب اطلاعات بیشتر با ما تماس بگیرید.



ارسال نظر (6 نظر)

    سلام لطفا کمکم کنید اینستاگرامم رو با تایید دو مرحله گوگل فعال کردم الان نه کد بازیابی رو دارم نه هیچی پشتیبانی اینستاگرامم هم بهم جواب نمیده لطفا کمکم کنید 🙏🙏🙏

    0

    0
    پاسخ

    داداش این مشکل واسه منم پیش اومده اگه راه حلی پیده کردی به من خبر بده

    0

    0
    پاسخ

    این مشکل رو منم دارم، به بهروز کمالیان هم گفتیم،نتونسته درستش کنه

    0

    0
    پاسخ

    منم همین مشکلو دارم.

    0

    0
    پاسخ

    سلام تورو خدا جوابم رو بدید سوالم خیلی واجبه،من تووی واتساپ با شماره مجازی عضو شده بودم و با خط و شماره مجازی واتساپ داشتم،تاییده 2مرحله ای رمز رو هم أنجام داده بودم که یوقت کسی نتوونه وارده حساب کاربری واتساپ من بشه،اما امروز ناخوداگاه دیدم که برام یه پیامی اومد از واتساپ تا رمز رو زدم و وارد برنامه شدم دیدم یه پیغام مانی اومد که دقیق یادم نیست که زده بود إنگار اگر میخواهید واتساپ را وارد شوید گزینه تایید رو بزنید که منم زدم روو گزینه تایید که یهو دیدم از واتساپم بیرون اومدم،من حتی گزینه ی رمز 2مرحله ای رو هم فعال کرده بودم،حالا میخواستم بدوونم آیا یعنی کسی وارده حساب کاربری واتساپ من شده و چجوری شده وقتی من تایید2مرحله ای رو فعال کرده بودم،دقیق پیغامی که اومد برام رو یادم نیست ولی یادمه که 2تا گزینه تایید بغل هم برام اومد که زدم روی تایید دیدم که بعدش از واتساپ اومدم بیرون،حالا سوالم اینه آیا کسی وارد واتساپم شده؟؟؟و اگر شده چجوری توونسته بشه با اینکه رمز 2مرحله ای رو فعال کرده بوده چطور توونسته بشه؟؟؟؟و سوال بعدییم اینکه اگر کسی وارد حساب کاربریم شده باشه به گالری من یا به مخاطبین واتساپ من میتونه دسترسی داشته باشه دیگه برای همیشه یا نه؟؟؟چون گالری رو که فکر نکنم بتوونه داشته باشه شاید حالا مخاطبین بمونه ولی گالری رو خودم شک دارم،اگر شماها کسی میدونه تورو خدا جوابه از أول متنم تا اینجا رو بده سوال هایی که پرسیدم رو،،یا أصلا إمکان این هست که خوده واتساپ أکانتم رو خواسته حذف کنه که دیده شماره شماره ی مجازی هستش بخاطره همین أکانت واتساپم رو حذف کرده باشه آیا إمکان این هست که خوده شرکت اینکار رو کرده باشه یا نه؟؟؟آخه برام یه پیغامی اومد تا زدم روی تایید افتادم بیروون فکر کنم نباید روی تایید میزدم و وارده برنامه میشدم تووی اون لحظه ای که برام پیغام اومده بوود…ممنوون میشم اگر چیزی میدوونید راجبه این مسئله که بتوونه کمکم کنه رو بهم بگیید….مٌنتظره جوابتوون هستم یا علی.

    0

    0
    پاسخ

    سلام من پیج مزونم رمز اهراز هویت فعال کردهبودم و الان کد ندارم چون گوشیم عوض کردم و نمی تونم وارد شم خواهس می کنم کمکم کنین همه کار زندگیم عقبموموندم خواهشمی کنم کمکم کنین 😢

    0

    0
    پاسخ