{ "version": "https:\/\/jsonfeed.org\/version\/1", "title": "Блог Start X: заметки с тегом двухфакторая аутентификация", "_rss_description": "как поведение людей влияет на безопасность Наши продукты • Дайджесты • Статьи • Список постов", "_rss_language": "ru", "_itunes_email": "", "_itunes_categories_xml": "", "_itunes_image": "", "_itunes_explicit": "", "home_page_url": "https:\/\/blog.startx.team\/tags\/dvuhfaktoraya-autentifikaciya\/", "feed_url": "https:\/\/blog.startx.team\/tags\/dvuhfaktoraya-autentifikaciya\/json\/", "icon": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408", "author": { "name": "Start X", "url": "https:\/\/blog.startx.team\/", "avatar": "https:\/\/blog.startx.team\/user\/userpic@2x.jpg?1687861408" }, "items": [ { "id": "19", "url": "https:\/\/blog.startx.team\/all\/phishing-vs-mfa\/", "title": "Фишинг против двухфакторной аутентификации", "content_html": "

\r\nС помощью фишинга мошенники могут украсть ваш логин и пароль, чтобы зайти в почту, социальную сеть или любой другой сервис. Считается, что двухфакторная аутентификация<\/a> помогает защититься от таких атак. <\/i>\r\n

\r\nС такой аутентификацией кроме логина и пароля для входа понадобится СМС-код или токен из специального приложения на смартфоне:\r\n

\r\n\r\n
\r\nТак работает «Гугл аутентификатор<\/a>» — популярное приложение для генерации кодов двухфакторной аутентификации.<\/i>\r\n

\r\nМы покажем фишинговую атаку, которая позволяет мошенникам получить доступ в аккаунт, даже если он защищен двухфакторной аутентификацией, и объясним, как от этого защититься.<\/p>\n

\r\n
\r\nСергей Волдохин
\r\nsv@antiphish.ru<\/a>\r\n<\/p>\n

1. «Традиционное» фишинговое письмо<\/h2>\n

\r\nАтака начинается с «обычного» фишингового письма. Такие письма еще два года назад отправляли пользователям «Гугла», чтобы украсть пароль и войти в почту и другие сервисы:\r\n<\/p>\n

Примеры фишинговых сообщений электронной почты<\/a> — статья в блоге Pentestit на Хабрахабре<\/p>\n

<\/p>\n

Интересная деталь. Вместо прямой ссылки на неизвестный фишинговый сайт кнопка «Изменить пароль» ведет на популярный сайт liveinternet.ru<\/i>. Хакеры используют так называемый «открытый редирект» с известного ресурса, чтобы отправить жертву на фишинговую страницу в домене loveandlight.no<\/i>:<\/p>\n

How Open Redirection Threatens Your Web Applications<\/a> — блог компании Qualys<\/p>\n

<\/p>\n

Аналогичный открытый редирект из домена «Гугла» использовался в недавних атаках на пользователей «Скайпа»:<\/p>\n


\nАдрес мошеннического сайта закодирован, чтобы пользователю было сложнее его прочитать и понять, куда на самом деле ведет ссылка.<\/i><\/p>\n

2. «Традиционный» фишинговый сайт<\/h2>\n

Жертва попадает на сайт, который достоверно имитирует интерфейс «Гугла» и предлагает сменить пароль:<\/p>\n

<\/p>\n

Используется универсальный фишинговый скрипт, который в качестве параметра принимает адрес электроннной почты пользователя и отображает его же на этой странице.<\/p>\n

3. Атака на двухфакторную аутентификацию<\/h2>\n

Мошенники понимают, что большинство пользователей «Гугла» уже знает про двухфакторную аутентификацию, поэтому третьим шагом они попытаются украсть одноразовый СМС-код, который нужен для входа кроме логина и пароля. Для этого у пользователя спросят действующий номер телефона:<\/p>\n

<\/p>\n

Креатив от мошенников: выделенная фраза в данном контексте выглядит как злая шутка над жертвой.<\/i><\/p>\n

И затем предложат ввести полученный код из СМС:<\/p>\n

<\/p>\n

Очевидно, собственный фишинговый сервис позволяет мошенникам автоматически авторизоваться в «Гугле» от имени жертвы и ввести одноразовый код, чтобы получить доступ к почте, документам и другим сервисам «Гугла».<\/p>\n

Новый уровень автоматизации<\/h2>\n

В апреле 2017 года разработчики проекта Evilginx заявили о поддержке имитированных фишинговых атак на сервисы с двухфакторной аутентификацией<\/a>. Это означает, что мошенникам для создания вредоносных фишинговых кампаний теперь почти не требуется техническая квалификация — открытая платформа уже готова:<\/p>\n

\n