记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

网络钓鱼案例及防御措施

我们知道许多通过恶意软件或系统漏洞来窃取密码的技术方法,而其中最难抵御的方法之一就是让用户在不知情的状况下主动披露自己的登录凭证。是的,这就是网络钓鱼。具体来说,网络钓鱼就是诱骗用户访问假冒的钓鱼网站并将自己的登录凭证输入其中的一种技术手段。我们经常会看到假冒的Gmail或Dropbox电子邮件,而且大多数用户都有能力判断这些邮件属于传统的钓鱼邮件。但是,一旦钓鱼邮件涉及工作相关内容或看似来自其他可信来源时,用户便难以判断其真伪。试想一下,如果你收到一封自称为企业IT部门的电子邮件,内容为邀请用户登录新的人力资源系统。而企业又具备非常正规的沟通方式和渠道,那么这种通知方式就不免显得十分奇怪。但是,如果情况并非如此,该电子邮件可能会提示用户点击链接,而且如果该钓鱼网站看起来足够有说服力的话,信任的用户甚至可能会输
发布时间:2018-01-18 15:20 | 阅读:109807 | 评论:0 | 标签:术有专攻 双因子认证 安全意识培训 网络钓鱼

一条短信干掉谷歌的双因子验证

上周末,推特上流传的一张截屏图片引起了注意。这次的骗局非常具有教育意义,值得学习借鉴。教训就是:社会工程,只要用得有效,任何安全控制都形同虚设。下图是clearbit.com共同创始人阿列克斯·麦考发在推特上的。显示的是有人正在尝试登录Gmail账户的短信。这完全就是个骗局,但可以想一下,这条信息暗示了什么,又在要求什么。该信息并没有让你输口令,也没有要求你的个人信息,更没想控制你的Gmail账户。恰恰相反,它提供一种温暖贴心的安全感,以及通过暂时锁定账户来让这种安全感更加深入的能力。这种攻击相当聪明,无疑是有成功案例的。它的上下文环境是成功的关键。该信息告诉受害者,有人正尝试登录他们的Gmail账户,并提供了有关“攻击者”的基本ID。由此,展开两种场景:懂点儿技术的,会意识到IP地址是可以伪造的,涉及到归属问
发布时间:2016-06-12 18:30 | 阅读:99983 | 评论:0 | 标签:牛闻牛评 gmail 双因子认证 社会工程

一起绕过双因子验证的实际入侵案例

上周,云服务提供商Linode发布了一篇博文,描述了其云服务客户PagerDuty的服务器被入侵的过程。网络入侵事件已经泛滥,但此事值得关注的是,攻击者是通过Linode的管理面板进入PagerDuty的服务器的,而想要做到这一点,攻击者必须绕过安全性极高的双因子身份验证(2FA)。在典型的2FA应用中,用户身份验证一般遵循以下过程:用户在网站或其他服务器上输入用户名和口令时,用户的终端设备上会运行TOTP算法产生一次性的服务器口令,用户再将此口令输入服务器。服务器端也会运行TOTP来验证输入的一次性口令,想要验证成功,用户设备的时钟需要和服务器的时钟大致同步。用于后续所有身份验证会话的单一密钥,必须在之前通过安全信道在服务器和用户设备之间共享。谷歌认证器TOTP截图TOTP算法的安全取决于共享密钥的保密性。密
发布时间:2016-03-01 09:00 | 阅读:130807 | 评论:0 | 标签:威胁情报 云服务 双因子认证 密钥

密码那点事儿

时隔多久你才会关注你当前所使用的密码呢?这不仅是指网站的密码,也包括日常网络上所使用的任何应用的密码。你是不是为了便于记忆而总是使用同一套密码呢? 我们看过太多用于FTP,数据库配置,cPanle以及CMS登录的弱密码。每个人都有一套独有的密码编制策略,往往都基于一系列有关网络安全的假设。很多用户的策略是”便捷优先于安全“。即便我们当中的一些偏执者也不得不承认这样一个事实:和任何防御措拖一样,最好的密码管理实践也只是尽可能将风险降到最低水平而已。 密码管理既是一门关于选择的学问,又是一种实践中养成的习惯。在了解了安全风险之后,用户往往就能做出明智的决定,从而在实践中使用更加安全的密码。 强密码的历史 绝大多数关于密码长度的检测标准都太弱了。其实,很多公司都了解这一点,但它们可不愿看到由于强密码检测的存在而导

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词