剑客
关注科技互联网

添加到你的谷歌账户的电话号码可以使它更不安全

将电话号码添加到你的谷歌账户可以不太安全。

最近,帐户收购电子邮件黑客,和有针对性的网络钓鱼攻击过的新闻。各种的政客,据称由俄罗斯黑客,黑客产生了大量的资料。尽管国家资助的特工人员的所谓参与,一些黑客并不依赖于复杂的零天攻击,但涉及的社会工程不知情的受害者。这些类型的攻击都被用来对付普通人的可能性越来越大。这最近发生在我的朋友︰

两周前,前同事 (其实,我在 2002 年谷歌方式趣文) — — 让我们叫他鲍勃 — — 他的谷歌帐户在夏威夷度假时的受到损害。他妥协的主电子邮件账户,攻击者可能有︰

  • 夺取了他的 Facebook 账户,将允许基于 Facebook 登录的帐户数目的渗透。
  • 重置密码并控制了其他帐户 (如金融,Twitter),只需要访问主电子邮件帐户。
  • 读取数据存储在谷歌云
  • 终止 (和潜在登录到) 到英国 GCE 实例。

他用很强的密码 (这永远不会在其他地方使用),有一个完全独立的恢复 (从他的母校),电子邮件有难猜到的安全问题,和从未登录的未知设备。鲍勃没有启用的多因素身份验证,但他也听从谷歌建议添加一个备份电话号码来加强安全保卫。我们将会看到,而不是备份电话增加他的帐户安全,实际上使他帐户相距甚远的安全。

添加到你的谷歌账户的电话号码可以使它更不安全
Don’t do this unless you also turn on MFA!

这次袭击

在 10 月 1 日后 2 h 没有从他的手机,, 鲍勃试图检查他的电子邮件,发现他已经被注销自己的 gmail 账户。在尝试重新登录,谷歌通知他他的电子邮件密码发生了不少于一个小时前。

他试着打个电话然后发现他电话服务不再是活跃的。调用 Verizon,他发现有人 (攻击者) 有不少于一个小时前打电话给他服务切换到 iPhone 4。威瑞森后来承认他们转移了他尽管不要求帐户也正在考虑他们对记录的 4 位数字的 PIN。

攻击者得以重置鲍勃的密码,并采取控制他的帐户。他或她然后删除鲍勃的恢复电子邮件、 更改密码、 更改的名称在帐户上,和启用两因素身份验证。(记录显示该帐户从 IP 地址在爱荷华州和德国访问)。

添加到你的谷歌账户的电话号码可以使它更不安全
添加到你的谷歌账户的电话号码可以使它更不安全
添加到你的谷歌账户的电话号码可以使它更不安全
添加到你的谷歌账户的电话号码可以使它更不安全
The attacker’s activities

最终,谷歌的客户支持和一些前同事,他们仍在谷歌工作的帮助下,鲍勃是能够取回他的账户。剩下的是什么和我们弄清如何攻击者成功了,我们可以得出关于安全实践的经验教训。

电信︰ 你是最薄弱的环节。

如果攻击者不知道鲍勃的安全问题,不会接触到他的恢复电子邮件,并不知道其他”元数据”问题的答案 (如︰ 鲍勃是当打开帐户?),谷歌是如何允许攻击者接管该帐户,和为什么要做后续的一系列行动 (立即更改的名称,恢复电子邮件、 电话号码和 MFA 设置) 不引起人们的怀疑?

使用几个老的谷歌帐户,我尝试用谷歌帐户恢复选项和发现,是否一个谷歌帐户不具有与之关联的备份电话号码,谷歌要求要有机会恢复电子邮件帐户或了解接管的帐户的安全问题。然而,如果备份电话号码是帐户上,谷歌允许您键入代码从 SMS 到而不是任何其他信息设备中。

你有它︰ 添加一个电话号码可以减少您的帐户安全到最低的︰ 您的恢复电子邮件帐户,您的安全问题,您的电话服务,和 (据推测) 谷歌最后客户服务的所有其他选项失败的情况下。

有的电信公司不当翻他们的用户帐户的无数例子︰ 一切从手机窃听事件在英国对最近的一些实例。简单地说,电信运营商可以在保护您的隐私很坏,他们不应该被信任。

有趣的是,看来,如果启用了两因素身份验证通过手机短信,谷歌不会允许您的密码重置,除非您还可以回答除了获得一个电话号码的安全问题。

结论

为了确保你的谷歌账户,你真的应该启用双因素身份验证,并使用一个有意思的应用程序,像 Google 身份验证器、 垛或 Authy。如果不管什么原因,你没有启用的双因素身份验证,强烈建议不将备份电话添加到您的帐户,作为讽刺的是,它可以减少您的帐户安全。基于 SMS 的双因素身份验证也是有风险︰ 如果攻击者能说服你的电信交出你的电话号码给他/她,他/她将有两个因素代码访问。

这种模式似乎是安全软件应该能够检测到某些东西︰ 不完全信息,紧跟变化中恢复电子邮件、 名称和两个因素-身份验证设置,重置密码加上”我的账号被盗用”的帮助请求是非常可疑。我很好奇这一连串事件在帐户收购过程中发生的频率和为什么谷歌不暂时禁用帐户所以影响直到人权审查活动。

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址