+26 голосов |
Интереснейшая статья о spear-phishing атаках иранских хакеров, близких к Islamic Revolutionary Guard Corps (IRGC) против активистов, журналистов и представителей госорганов США. Интересна она прежде всего тем, что в атаках применялись методики, позволяющие обходить двухфакторную аутентификацию, установленную пользователями на учетных записях Gmail и Yahoo. Если вкратце, то нападающие злоумышленники мониторили с помощью встроенного в письма невидимого изображения открытие письма (поскольку атака была направлена на конкретного человека, это облегчало мониторинг). Если жертва повелась на полученное письмо, и начинала вход путем ввода логина и пароля, то при вводе пароля в фейковую страницу нападающие тут же получали логин и пароль. Они тут же вводили полученные реквизиты учетной записи в настоящую страницу. Если при логине показывался запрос на двухфакторную аутентификацию, атакующие тут же перенаправляли жертву на такую же, но фейковую страницу для ввода одноразового пароля, и после этого перехватывали и вводили у себя полученный одноразовый код.
В статье говорится, что были зафиксированы методы успешного фишинга в случае с 2FA кодами, полученными жертвами по SMS. Особенно помогало успешности атак то, что страницы постились на sites.google.com, и использовали адреса [email protected] и [email protected], что для большинства пользователей выглядит достаточно убедительно. Подтвержденных случаев успеха с 2FA-кодами из аутентификационных приложений вроде как нет, по словам Certfa Lab. Но, судя по схеме, ничего не мешает в случае такой атаки перехватить и их. В реальности от таких направленных атак могут защитить только аппаратные ключи безопасности (вот как это работает для Google). Большинству читателей канала, наверно, пока не стоит беспокоиться, вряд ли вы или я станем целью такой направленной атаки, но меня беспокоит то, что этот механизм вполне может быть автоматизирован в будущем, и тогда без ключа будет уже никуда. Chrome поддерживает ключи уже давно, Safari скоро тоже подтянется, а если вы действительно беспокоитесь о безопасности своего почтового аккаунта Gmail, рассмотрите вариант с Advanced Protection Program.
Первоисточник с огромным количеством деталей об атаках: https://blog.certfa.com/posts/the-return-of-the-charming-kitten/
Забавно, что статья называется «Возвращение очаровательных котят», потому что методика и сервера, использованные для атаки, очень похожи на деятельность хакерской группировки Charming Kittens, и авторы расследования делают вывод, что это они и есть. Хорошее название у группировки.
Возвращение очаровательных котят – 2FA в опасности
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+26 голосов |
>то при вводе пароля в фейковую страницу
Может ли решить проблему фейковых страниц https протокол?
некоторые из этих страниц хостились на sites.google.com, которые — сюрприз! — отдаются по https.
https://ko.com.ua/tak_li_privaten_https_107237
2FA с вводом пароля - прошлый век. Современные варианты используют приложение-аутентификатор, которое само общается с бек-ендом аутентификации: пользователь работает только с приложением, конкретно видит URL, с которого пришел запрос, в веб-страницы ничего не вводит, да и каждый ресурс для такого 2FA вначале должен быть подключен путем взаимного обмена сертификатами.
Короче , фейковые страницы идут неровным строем купить в сторонке...
Видео с примером: https://m.youtube.com/watch?v=hiErRKFU9B4
А потом приложение-аутентификатор внезапно меняет политику и добавляет неотключаемую телеметрию со сбором данных вплоть до звонков (привет Duo!).
Только аппаратный токен, только хардкор
++
Корпоративные аутентификаторы вряд ли на такое пойдут. Хотя, "никогда не говори никогда"...
Знаете токен, который умеет делать аутентификацию целиком через бек-енд (и в который при обновлении прошивки не вольют неотключаемую телеметрию)? Поделитесь информацией!
Или будете страдать со своим токеном от фишинга?
Ну я выше назвал один "корпоративный", который пошёл на подобное в последней версии )
Мммм, я тут исключительно как пользователь, что там в серверной части я хз
Зачем страдать? Наслаждаться ))
А вы что будете делать с софт-токеном учитывая количество малвари под обе оставшиеся мобильные платформы? )