Цей інструмент може зламати ваші рахунки навіть за допомогою двофакторної аутентифікації
Інтернет - це небезпечне місце, наповнене тіньовими людьми, які хочуть вкрасти вашу особисту інформацію. Включення двофакторної аутентифікації (іноді це називається двофакторною верифікацією) - це один з найкращих способів зберегти безпеку своїх онлайн-облікових записів. Проте знаменитий хакер Кевін Мітнік показує, як навіть ця міра безпеки не може повністю захистити ваші дані, якщо ви не залишаєтеся постійно пильними.
Питання про руйнування не було розроблено Мітніком, який працює головним хакерським офіцером безпеки фірми KnowBe4. Кредит на це йде на товариша Мітніка та хакери білого шапки Куби Грецькі. Інструмент відомий як badgynx, і це робить фішинг можливим, навіть якщо ціль використовує двофакторну аутентифікацію. Це, по суті, атака між людьми, але використовує proxy_pass і sub_filter для зміни та захоплення HTTP-трафіку. Для цього потрібен HTTP-сервер Nginx та знайомство з Debian Linux. Багато людей мають необхідні знання для цього.
Ви можете отримати повний технічний виклад злому на сайті Gretzky, але Мітнік має приємну, засвоювану демонстрацію відео інструменту в дії (вставлено нижче). Він використовує LinkedIn як приклад, але його можна використовувати на Google, Facebook та будь-що інше, що використовує стандартний двофакторний логін. Атака починається так само, як і всі фішингові атаки - з розумно розробленим електронним листом. Ви повинні переконати ціль, щоб натиснути на посилання, яка завантажує ваш сайт, який маскує як сторінка, яку очікує ваша мета. У цьому випадку це LinkedIn.
Викрадення такого імені користувача та пароля є простим, оскільки вони не змінюються. Двофакторний код змінюється кожні кілька секунд, тому, приймаючи це з вашої підробленої сторінки, безглуздо. Використовуючи злаггикс, Мітнік показує, як сторінка не фіксує код 2FA, а сеансовий файл cookie. Це ідентифікує користувача на сайті, що дозволяє зловмисникові негайно перейти на ваш обліковий запис.
Мітнік продовжує показувати, як можна завантажувати файли cookie сесії вручну за допомогою консолі розробника Chrome, яка займає лише кілька кліків. Потім все, що вам потрібно зробити, це перезавантажити сторінку, і LinkedIn показує сеанс входу. Вам не потрібно вводити ім'я користувача, пароль або навіть код 2FA.
Gretzky опублікував код для його 2FA хак на GitHub, так що кожен має доступ до нього. Це означає, що люди можуть спробувати використовувати його для цілей фішингу, але дослідники та освітяни також можуть допомогти захистити користувачів. Це просто йде, щоб показати вам; навіть двофакторна аутентифікація не захистить вас від ваших власних бідних рішень.