Злоумышленники научились обходить двухфакторную аутентификацию Yahoo Mail и Gmail

[@alexxisr]

Я так понял этот код из смс пользователь вводил на том же фейковом сайте — оттуда он и передавался для входа в реальный.
То есть весь взлом — «мы спросили у пользователя пароль — он нам его рассказал»

[@click0]

Мне не совсем понятно применения символов '[' и ']':

Отправлялись эти e-mail с адресов вроде mailservices@gmail[.]com, noreply.customermails@gmail[.]com, customer]email-delivery[.]info.

[@tormozedison]

Как я понимаю, доверять можно только no-reply@accounts.google.com

[@YaMishar]

Доверять нельзя никому. Откуда пользователь должен знать, что именно с no-reply@? А для yahoo, yandex?
Я лично в таких случаях не утруждаю себя кликаньем на ссылки, а открываю отдельную закладку и уже там иду на gmail, paypal, microsoft,…
Я не журналист и пока меня не пытались так ломать, но всё равно — бережённого бог бережёт.

[@TonyLorencio]

Если я правильно помню, как работает SMTP, то в общем случае доверять нельзя никому.

[@Vehona]

Это определенно сделано авторами статьи, чтобы адреса были некликабельны, так меньне повода попробовать писать на них. Если сильно хочется — «восстанавливаешь» самостоятельно.

[@LoadRunner]

удалено, дубль

[@iPilot]

Эм, а людей не смущает факт, что они только что смотрели свою почту, будучи авторизованными, а их просят авторизоваться снова? Или это рассчитано на тех, кто пользуется разными приложениями для агрегации почты с нескольких ящиков?

[@yurisv3]

журналист, политик или разного рода активист

Двумя словами: альтернативно одаренный.

[@ksenobayt]

Вы достаточно небрежно разбрасываетесь словами.

[@agmt]

А можете пояснить свою мысль? В чём отличие данных социальных групп от остальных?

[@altrus]

Хоть я и не политик, но и меня такое поведение Гугла/Микрософта не смущает, потому что такое часто выскакивает при переустановке чего-то на смартфоне, или переключении прокси в десктопном браузере, или заходе с нового клиента, или переезде в другой регион.
Скорей напрягает, чем смущает.

[@jryj]

Если включена двухфакторная, то на мобилку приходит запрос на вход и надо нажать «Да», что бы вход осуществился. Там же указывается IP. Плюс, что бы прислали СМС с кодом надо этот способ самому выбрать ручками.

Как всё это не насторожило людей — странно.

[@dimm_ddr]

Никто не мешает на фейковой странице написать что такой вариант невозможен «по техническим причинам»/«Из-за подозрительной активности». Я уверен что написать что-то убедительное для человека который уже поверил такому письму — не так уж сложно.

[@batyrmastyr]

У гуглопочты при заходе в настройки безопасности даже у авторизованных требует пароль.

[@MeGaPk]

вообще-то у gmail такая логика работы, ну да, обычно просят только пароль. Но видимо ставка «Ваш аккаунт угоняют», делает своё дело, понижая внимательность.

[@Temmokan]

«Железные» ключи, конечно, куда надёжнее. Пока не пытаешься их заказать IRL (насколько понял, единственный рабочий вариант для граждан России — через thekernel.com; иногда их можно увидеть и на softline.ru)

[@HansHelmut]

А всякие rutoken для этого не подходят?

[@Temmokan]

А где они применимы, помимо списка «Совместимость» на rutoken.ru?

Если использовать исключительно на территории РФ — rutoken'а может и хватить.

[@Kabdim]

Вообще это банальный элемент поддерживающий pki. С чего бы им не пользоваться везде? Еще есть ESMART Token, кстати, если нравятся аккуратные металлические корпуса, которые сложно сломать.

[@Temmokan]

Кстати да, можно просто проверить экспериментально.

И да, чем сложнее сломать, тем лучше.

[@riot26]

Можно попробовать заказать на амазоне с пересылкой в определённых сервисах. Заказывал таким способом YubiKey, правда, на территорию Украины.

[@Temmokan]

Из сервисов использую Shipito. Правда, при такой пересылке ключик выйдет золотым.

[@vaslobas]

Если из статьи выкинуть всю воду, то она будет звучать так «Пользователи до сих пор ведутся на банальные фишинговые сайты». Конец статьи.

А заголовок очень желтый. Научились они обходить, ага, когда пользователь сам введет эти данные на фишинговом сайте, то не мудрено попасть в аккаунт.

[@Duss]

В конце статьи как будто не хватает — заказывайте надежные, «железные» ключи на этом сайте, и ссылка.

[@chupasaurus]

Ну текущее поколение Yubikey через границу РФ можно пронести только контрабандой, например.

[@dargo]

Вы серьезно? Собирался привезти знакомому Yubikey в подарок на днях.

[@chupasaurus]

Серьёзнее некуда. Товар подлежит сертификации, как криптоустройство. 4 поколение сертифицировано, 5 — ещё нет.

[@labyrinth]

А местные аналоги? JaCarta в U2F вроде тоже могёт.

[@chupasaurus]

У них нет решения «всё-в-одном»: либо U2F, либо криптоконт, либо OTP.

[@agmt]

А если сделать перепрошиваемые аппаратные ключи, которые ты провозишь через границу как что-то глупое, а в 5-е поколение превращаешь сам, обновляя прошивку?

[@Seekeer]

исследователям удалось восстановить оригинальный диапазон IP, с которых осуществлялась атака. Это были иранские адреса. Кроме того, схожие методы работы использовались и используются группой взломщиков Charming Kitten, которая связана с правительством Ирана

А отравление Скрипалей не эти же исследователи вели?)

[@lair]

Пользователь, у которого включена двухфакторная аутентификация, получал на телефон SMS с одноразовым паролем, злоумышленники каким-то образом получали возможность войти в аккаунт. Они научились обходить защиту Google Authenticator.

Без ответа на вопрос "каким образом" (будем честными, я подозреваю, каким, но не важно), эта статья лишена всякого смысла, равно как и заверения о том, что какой-то другой метод аутентификации безопаснее.

[@labyrinth]

Компания Google провела исследование, результаты которого однозначно говорят о том, что USB-ключи гораздо надежнее смартфонов или других систем, которые могут использоваться для двухфакторной аутентификации.

Только они же сами начинают пугать, если начинаешь использовать этот ключ. Появляется сообщение, что при потере ключа уже ничего не поделать и в ящик не зайти… поэтому включите ещё один способ (!): смс, секретный пароль и т.д.