pokračování
Aktualizace #hack krádeže a dalších získaných lekcí opsec:
Nyní jsem dále potvrdil, že vektor bypassového útoku #2FA byl muž uprostřed útoku. Od platformy Indeed pro hledání práce jsem obdržel e-mail, který mě informoval, že obdrželi žádost o smazání mého účtu do 14 dnů. Byl jsem v té době v posteli a dělal jsem to z telefonu přes mobilní aplikaci Gmail.
Nepoužíval jsem Indeed navždy a nezajímá mě to, ale zjevně jsem si myslel, že je to neobvyklé, protože jsem takový požadavek nevznesl. Z bezpečnostních opatření jsem chtěl vědět, kdo takový požadavek podal, a chtěl jsem zkontrolovat, zda má Indeed přístupové protokoly, tak jsem to naťukal na svůj telefon.
Protože jsem Indeed nepoužíval navždy, nepamatoval jsem si své heslo, takže jsem přirozeně zvolil Přihlásit se přes Google. Vzalo mě to do Indeed a nemohl jsem najít protokol požadavků. Protože jsem věděl, že moje stará přihlášení už byla na darkwebu, usoudil jsem, že se někdo musel dostat do mého Indeed, a tak jsem povolil 2FA.
Upřímně jsem se o Indeed moc nestaral, i když byl smazán, a myslel jsem si, že je to jen nějaký malý hobby hacker, který si pohrává se starým přihlášením z nějaké staré odhalené databáze.
Ukázalo se, že e-mail Indeed byl #spoofed phishingový útok. Odkaz na Indeed, na který jsem klepnul v aplikaci Gmail, byl napsaný jihokorejský webový odkaz, který mě zase nasměroval na nějaký falešný web Indeed, který zachytil mé Přihlášení přes Google a poté mě nasměroval na skutečný web Indeed. Ukradli soubor cookie relace, který jim umožnil obejít 2FA, poté se dostali k mému účtu Google a zneužili synchronizaci prohlížeče.
Další získané obecné lekce opsec:
1. Mobilní aplikace Gmail ve výchozím nastavení nezobrazí skutečné adresy URL e-mailu nebo odkazu odesílatele, což je velká chyba opsec. Neklepejte na mobilní odkazy ve svém mobilním e-mailovém klientovi.
2. Zdržte se používání funkce Přihlášení přes Google nebo jiných funkcí #oAuth . Pohodlí za to nestojí kvůli snadnosti phishingových útoků k obejití 2FA. I když to nemusí být způsobeno kliknutím na phishingový odkaz, běžná webová stránka může být kompromitována bez vašeho zavinění. Očekávání bezpečnosti 2FA mě zklamalo.