Обход двухфакторной авторизации.

После череды взломов аккаунтов в Twitter, сервис ввёл в строй систему двухфакторной авторизации. Ему, последовали и другие ресурсы. Однако, и её можно обойти. Разложу по полочкам, как.

Двухфакторная авторизация – это усложнённый процесс подтверждения личности пользователя. Первым фактором по-прежнему будет логин и пароль. В качестве второго фактора, пользователю предлагается такой метод:

SMS авторизация, при которой дополнительным подтверждением будет код доступа, присланный в СМС на привязанный к вашему аккаунту мобильный номер.

Двухфакторную аутинфикацию можно подключать или отключать. По сути, для прекращения услуги, нужно отправить SMS со словом STOP или другим, на номер сайта.

Вот тут то и находится отличная уязвимость. Уже давно отправка SMS на мобильный, легко поддаётся SMS - спуфингу.

"SMS-спуфинг" (от английского spoof - мистификация), позволяющий отправить SMS от имени любого адресата.

Отправляется SMS, якобы с телефона жертвы и вуаля, у неё отключается двухфакторная авторизация.

Замечено, что люди, использующие двухфакторную авторизацию, чувствуют себя защищённее, расслабляются и выбирают простые пароли. А значит, их уже проще взломать.

Этот метод, перехвата и спуфинга, можно успешно использовать и при взломе почтовых аккаунтов.

Узнать номер жертвы, подцепить сниффер для перехвата и какую команду нужно отправить ресурсу для отключения услуги, это уже дело техники и другая тема. Для отправки, используются: как специальные программушки, типа такой

так и платные сервисы, которые предназначены для отправки SMS, чтоб ПОДШУТИТЬ над другом , к примеру.

По понятным причинам, не называю ни свою программку, ни сервис, так как матерал напечатан не для обучения, а в предупредительных целях.

Народ, не расслабляемся и не забываем про сложные пароли!!!