וִידֵאוֹ: MY ROBLOX ACCOUNT GOT HACKED! (SHOCKING VIDEO PROOF) (אוֹקְטוֹבֶּר 2024)
ככל הנראה נתקלת באחת מתכניות אימות האתר שפועלות על ידי שליחת קוד חד פעמי לסמארטפון שלך והזנת אותו באופן מקוון. מספרים של אימות עסקאות סלולריות (mTAN) המשמשים בנקים רבים הם דוגמה אחת. המאמת של גוגל מאפשר לך להגן על חשבון Gmail שלך באותה דרך, ושירותים שונים אחרים - LastPass, למשל - תומכים בו גם כן. לרוע המזל, החבר'ה הרעים כבר יודעים להסיט אימות מסוג זה. אימות ה- SMS של TextKey הוא גישה חדשה, הגנה על כל שלב בתהליך האימות.
סובב את זה
אימות SMS בסגנון ישן שולח קוד חד פעמי למספר הנייד הרשום של המשתמש. אין דרך להיות בטוחה שהקוד לא נתפס על ידי תוכנה זדונית או יורט באמצעות שיבוט של הטלפון. בשלב הבא המשתמש מקליד את הדפדפן. אם המחשב נגוע, העסקה עלולה להיפגע. למעשה, גרסת זאוס בשם zitmo (עבור "זאוס בנייד") מבצעת התקפת צוות תגית, כאשר רכיב אחד במחשב האישי ואחד בנייד משתף פעולה בכדי לגנוב את האישורים שלך, ואת הכסף שלך.
TextKey הופך את התהליך כולו. זה לא מסר לך כלום. במקום זאת, הוא מציג מספר זיהוי אישי לאחר שהזנת את שם המשתמש והסיסמה שלך ומבקש לשלוח את ה- PIN למספר קצר שצוין. הספקים הסלולריים עובדים ממש קשה כדי לוודא שמספר טלפון אחד מתאים בדיוק למכשיר אחד, כך שאם שרת TextKey יקבל את ההודעה בכלל זה אומר שהמוביל כבר אימת את מספר הטלפון ואת ה- UDID של הטלפון. ממש שם, TextKey מקבל שני גורמי אימות נוספים בחינם!
מספר הזיהוי האישי שונה בכל פעם שהוא תקף למשך מספר דקות. גם הקוד הקצר משתנה. ואתר המשתמש ב- TextKey לצורך אימות יכול לחייב כל משתמש ליצור קוד אישי אישי שיש להוסיף לתחילת קוד ה- PIN או לסופו.
מה קורה אם עמית לעבודה גולש על המסך עם ה- PIN והקוד הקצר, או תוכנית זדונית מדווחת על פעילות הטקסט שלך לבעליה? אם מערכת TextKey מקבלת את ה- PIN הנכון ממספר הטלפון השגוי, היא לא רק דוחה את האימות. זה גם רושם את מספר הטלפון כהונאה, כך שבעל האתר יכול לנקוט בפעולות המתאימות.
לחץ על קישור זה כדי לנסות את TextKey. לצורך הפגנה, הזן את מספר הטלפון שלך; במצב אמיתי, המספר יהיה חלק מפרופיל המשתמש שלך. שים לב שאתה יכול להפעיל את התראת ההונאה על ידי הזנת מספר שאינו שלך.
איך אתה מבין
אבוי, TextKey הוא לא משהו שאתה יכול ליישם כצרכן. אתה יכול לעשות בו שימוש רק אם הבנק או אתר מאובטח אחר יישמו. עסקים קטנים יכולים לקבל חוזה לאימות TextKey על בסיס אבטחה כשירות, ולשלם מ- 5 $ למטה ל- $ 0.50 למשתמש בחודש, תלוי במספר המשתמשים. זהו תשלום חודשי קבוע, עבור כל מספר כניסות. פעולות בקנה מידה גדול המארחות את שרתי TextKey משלהם משלמות דמי התקנה כמו גם תשלום לחודש.
ייתכן שתכנית זו אינה ניתנת לניתוק במאה אחוז, אך היא קשה בהרבה מאימות SMS של בית הספר הישן. זה הרבה מעבר לשני גורמים; TextPower מכנה זאת "גורם-פקטור". עליכם לדעת את הסיסמה, להחזיק את הטלפון עם ה- UDID הנכון, להזין את ה- PIN המוצג, לחלופין להוסיף את ה- PIN האישי שלכם, לשלוח את הטקסט ממספר הטלפון הרשום שלכם ולהשתמש בקוד הקצר האקראי כיעד. לעמת זאת, ככל הנראה, ההאקר הממוצע יתפוגג ויסדק במקום זאת כמה מנטאנים בנקאיים.
