Этот инструмент может взломать ваши учетные записи даже с двухфакторной аутентификацией

Этот инструмент может взломать ваши учетные записи даже с двухфакторной аутентификацией

Интернет - опасное место, изобилующее теневыми людьми, которые хотят украсть вашу личную информацию. Включение двухфакторной аутентификации (иногда называемой двухфакторной проверкой) является одним из лучших способов защитить ваши онлайн-аккаунты. Однако знаменитый хакер Кевин Митник показывает, как даже эта мера безопасности не может полностью защитить ваши данные, если вы не останетесь постоянно бдительными.

Этот взлом не был разработан Митником, который работает главным офицером по хакерству для охранной фирмы KnowBe4. Кредит за это идет к другу Митника и белой шляпе хакером Кубе Гретцки. Инструмент известен как evilginx, и он делает фишинг возможным даже тогда, когда цель использует двухфакторную аутентификацию. По сути, это атака «человек в середине», но она использует proxy_pass и sub_filter для изменения и захвата трафика HTTP. Для этого требуется HTTP-сервер Nginx и некоторое знакомство с Debian Linux. У многих людей есть необходимый опыт для этого.

Вы можете получить полное техническое описание злодея на сайте Гретцки, но у Митника есть приятная, удобоваримая видеоролик инструмента в действии (встроенная ниже). В качестве примера он использует LinkedIn, но его можно использовать в Google, Facebook и любом другом, который использует стандартный двухфакторный вход. Атака начинается так же, как и все фишинг-атаки - с продуманным электронным письмом. Вы должны убедить цель щелкнуть ссылку, которая загружает ваш сайт, который маскируется как страница, которую ожидает ваша цель. В этом случае это LinkedIn.

Кража имени пользователя и пароля, как это просто, потому что они не меняются. Двухфакторный код меняется каждые несколько секунд, поэтому снятие с вашей поддельной страницы бессмысленно. Используя evilginx, Митник показывает, как страница захватывает не код 2FA, а файл cookie сеанса. Это идентифицирует пользователя на сайте, позволяя злоумышленнику быстро перейти на ваш аккаунт.

Mitnick продолжает показывать, как вы можете загружать cookie сеанса вручную через консоль разработчика Chrome, которая занимает всего несколько кликов. Затем все, что вам нужно сделать, это перезагрузить страницу, а LinkedIn отобразит сеанс входа в систему. Вам не нужно вводить имя пользователя, пароль или даже код 2FA.

Gretzky опубликовал код для своего 2FA хака на GitHub, так что каждый имеет доступ к нему. Это означает, что люди могут попытаться использовать его для фишинговых целей, но исследователи безопасности и преподаватели могут также помочь защитить пользователей. Он просто показывает вам; даже двухфакторная аутентификация не защитит вас от ваших собственных плохих решений.

Читать далее

Топ-секретный спутник «Зума», запущенный SpaceX, может быть потерян
Топ-секретный спутник «Зума», запущенный SpaceX, может быть потерян

Недавний запуск «Зума», похоже, ушел без сучка и задоринки, но теперь есть основания полагать, что американский шпионский спутник мог быть уничтожен до начала операции.

Google Lunar X Prize может продлиться без победителей
Google Lunar X Prize может продлиться без победителей

Фонд готов выплатить до 30 миллионов долларов в виде призов, но похоже, что предложение может истечь через несколько месяцев без победителей.

OnePlus может случайно отправить данные буфера обмена на китайский сервер
OnePlus может случайно отправить данные буфера обмена на китайский сервер

Последняя бета-версия его пользовательской «OxygenOS» Android-сборки отправляла данные пользовательского буфера обмена на сервер в Китае. К сожалению.

VR180: Может ли это Jumpstart VR, или это просто следующий 3D-телевизор?
VR180: Может ли это Jumpstart VR, или это просто следующий 3D-телевизор?

Несмотря на миллиарды инвестиций, VR медленно выходил на потребительский рынок, как только вы закончите хардкор-игры. Google, Lenovo и другие пытаются использовать другой подход, поощряя создание контента на 180 градусов в качестве более простой альтернативы.