23.11.2018  Мнения, Безопасность

— Доброе утро, шеф! — Доброе утро, Рита! Я как раз собирался вас вызвать. Есть работа, но я пока не представляю, как ее выполнить. Нам нужно прочесть письма из почтового ящика Виктора Рэя. Но он использует двухэтапную аутентификацию на почтовом сервере компании М. — Задание принято, а уж как — мы разберемся сами. Разрешите применить средства негласного съема информации? — У вас разрешение императора на применение любых методов. Но все же желательно выполнить это максимально тихо, не привлекая внимания. Прошла неделя. — Шеф, вот вам искомая почта. Так как мы не знали за какой период, то выкачали все, что есть на сегодня. — Молодцы, но как??? — Для выполнения задания мы решили клонировать сим-карту подозреваемого, на которую приходит СМС в виде второго фактора. Но не тут-то было. Оказалось, что СМС приходит не на основной его номер, а на предоплаченную карточку, которая не зарегистрирована на него. Тогда, уточнив, что в доме он проживает один, мы использовали фальшивую базовую станцию и воспользовались ею в один из дней, когда в доме он был один. В результате мы получили номер его второй сим-карты. И клонировали ее. — И что вам это дало? — Компания М позволяет воспользоваться не только двухэтапной аутентификацией, но и организовать нечто типа структуры одноразовых паролей (One Time Password — OTP). — Поясните. — Для входа на почту можно запросить только «второй фактор», без ввода пароля. Именно этим мы и воспользовались. В результате мы получили СМС на клон сим-карты и вошли в ... читать далее.