中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

E安全6月27日訊，4名以色列科學(xué)家發(fā)布研究論文，詳細(xì)描述了一種新型攻擊，即“密碼重置中間人攻擊”（PRMitM），引導(dǎo)受害者在目標(biāo)網(wǎng)站進(jìn)行注冊(cè)，并在注冊(cè)過(guò)程中偷偷重置該受害者的其它密碼。

PRMitM屬于社會(huì)工程類(lèi)攻擊，其要求攻擊者說(shuō)服或誘騙潛在受害者在陷阱網(wǎng)站上注冊(cè)個(gè)人資料。

例如，當(dāng)受害者在陷阱網(wǎng)站的注冊(cè)頁(yè)面輸入用戶名或電子郵件，惡意網(wǎng)站的后端會(huì)將這類(lèi)信息發(fā)送至Google、Yandex或Yahoo目標(biāo)頁(yè)面，從而啟動(dòng)密碼重置操作。

如果密碼重置服務(wù)要求完成各種安全設(shè)置，例如驗(yàn)證碼、安全問(wèn)題或短信驗(yàn)證碼，攻擊者便會(huì)通過(guò)新程序更新注冊(cè)程序，要求用戶在注冊(cè)頁(yè)面輸入這類(lèi)信息。

E安全提醒那些粗心大意的用戶注意，研究人員在測(cè)試期間證明，許多用戶在注冊(cè)頁(yè)面輸入了所有要求輸入的信息，絲毫沒(méi)有注意到有人在嘗試入侵他們的賬號(hào)。甚至當(dāng)受害者通過(guò)短信驗(yàn)證碼時(shí)，大多數(shù)用戶會(huì)在手機(jī)通知欄讀取驗(yàn)證碼，而不會(huì)查看完整的短信內(nèi)容。諸如Twitter或Facebook在內(nèi)的網(wǎng)站會(huì)在短信中闡明驗(yàn)證碼的真實(shí)用途（例如密碼重置、注冊(cè)等）。讀取完整的短信會(huì)讓用戶免遭這類(lèi)攻擊。

E安全再次提醒大家，以后看短信信息別看個(gè)“驗(yàn)證碼”就完了，請(qǐng)務(wù)必全文閱讀！

密碼重置時(shí)，請(qǐng)使用短信等多種方式發(fā)送密碼，勿僅限于電子郵件。

為了防止PRMitM攻擊，研究人員建議，如果網(wǎng)站或服務(wù)提供商取消了電子郵件發(fā)送密碼重置服務(wù)，應(yīng)至少采用短信發(fā)送密碼重置鏈接。

當(dāng)某人試圖在另一網(wǎng)站注冊(cè)時(shí)，通過(guò)短信接收密碼重置鏈接會(huì)提醒受害者可能存在風(fēng)險(xiǎn)。

盡管如此，這種緩解措施無(wú)法保護(hù)受害者免受?chē)?guó)家攻擊者發(fā)起這類(lèi)攻擊，這類(lèi)攻擊者具有資源可以利用SS7協(xié)議中的漏洞，并劫持手機(jī)號(hào)碼，在自己的手機(jī)上接收密碼重置通知。