Цей інструмент може зламати ваші рахунки навіть за допомогою двофакторної аутентифікації

Цей інструмент може зламати ваші рахунки навіть за допомогою двофакторної аутентифікації

Інтернет - це небезпечне місце, наповнене тіньовими людьми, які хочуть вкрасти вашу особисту інформацію. Включення двофакторної аутентифікації (іноді це називається двофакторною верифікацією) - це один з найкращих способів зберегти безпеку своїх онлайн-облікових записів. Проте знаменитий хакер Кевін Мітнік показує, як навіть ця міра безпеки не може повністю захистити ваші дані, якщо ви не залишаєтеся постійно пильними.

Питання про руйнування не було розроблено Мітніком, який працює головним хакерським офіцером безпеки фірми KnowBe4. Кредит на це йде на товариша Мітніка та хакери білого шапки Куби Грецькі. Інструмент відомий як badgynx, і це робить фішинг можливим, навіть якщо ціль використовує двофакторну аутентифікацію. Це, по суті, атака між людьми, але використовує proxy_pass і sub_filter для зміни та захоплення HTTP-трафіку. Для цього потрібен HTTP-сервер Nginx та знайомство з Debian Linux. Багато людей мають необхідні знання для цього.

Ви можете отримати повний технічний виклад злому на сайті Gretzky, але Мітнік має приємну, засвоювану демонстрацію відео інструменту в дії (вставлено нижче). Він використовує LinkedIn як приклад, але його можна використовувати на Google, Facebook та будь-що інше, що використовує стандартний двофакторний логін. Атака починається так само, як і всі фішингові атаки - з розумно розробленим електронним листом. Ви повинні переконати ціль, щоб натиснути на посилання, яка завантажує ваш сайт, який маскує як сторінка, яку очікує ваша мета. У цьому випадку це LinkedIn.

Викрадення такого імені користувача та пароля є простим, оскільки вони не змінюються. Двофакторний код змінюється кожні кілька секунд, тому, приймаючи це з вашої підробленої сторінки, безглуздо. Використовуючи злаггикс, Мітнік показує, як сторінка не фіксує код 2FA, а сеансовий файл cookie. Це ідентифікує користувача на сайті, що дозволяє зловмисникові негайно перейти на ваш обліковий запис.

Мітнік продовжує показувати, як можна завантажувати файли cookie сесії вручну за допомогою консолі розробника Chrome, яка займає лише кілька кліків. Потім все, що вам потрібно зробити, це перезавантажити сторінку, і LinkedIn показує сеанс входу. Вам не потрібно вводити ім'я користувача, пароль або навіть код 2FA.

Gretzky опублікував код для його 2FA хак на GitHub, так що кожен має доступ до нього. Це означає, що люди можуть спробувати використовувати його для цілей фішингу, але дослідники та освітяни також можуть допомогти захистити користувачів. Це просто йде, щоб показати вам; навіть двофакторна аутентифікація не захистить вас від ваших власних бідних рішень.

Читати далі

Вчені розробляють назальний спрей, який може вивести з ладу коронавірус
Вчені розробляють назальний спрей, який може вивести з ладу коронавірус

У нещодавно випущеному дослідженні, задум був ефективним для дезактивації нового коронавірусу, перш ніж він міг заразити клітини.

Майкрософт може роздумувати про придбання великої студії, можливо навіть ЕА
Майкрософт може роздумувати про придбання великої студії, можливо навіть ЕА

У Microsoft виникла проблема з консольними ексклюзивними пристроями, і мова йде про збирання студії або двох, щоб допомогти, у тому числі, вірити чи ні, EA.

Qualcomm пропонує навіть більше грошей для NXP, повідомляє Broadcom, що вона вийде
Qualcomm пропонує навіть більше грошей для NXP, повідомляє Broadcom, що вона вийде

На Qualcomm останній тиждень прослухали "найкращу та остаточну пропозицію" компанії Broadcom, і лише ефективно розповів "Broadcom" про похід.

Навіть Xbox One X не може зупинити завантаження консолі Microsoft Slide
Навіть Xbox One X не може зупинити завантаження консолі Microsoft Slide

Xbox One продажі не відновилися проти PS4, незважаючи на запуск Xbox One X минулого року.