Fortsetzung
Update zum #hack -Diebstahl und weitere gewonnene Erkenntnisse aus der Opsec-Sicherheit:
Ich habe nun weiter bestätigt, dass der Bypass-Angriffsvektor #2FA ein Man-in-the-Middle-Angriff war. Ich hatte eine E-Mail von der Jobsuchplattform Indeed erhalten, in der mir mitgeteilt wurde, dass sie eine Aufforderung erhalten hatten, mein Konto innerhalb von 14 Tagen zu löschen. Ich lag zu diesem Zeitpunkt im Bett und tat dies von meinem Telefon aus über die mobile Gmail-App.
Ich hatte Indeed schon ewig nicht mehr verwendet und es interessiert mich nicht, aber natürlich fand ich es ungewöhnlich, da ich keine solche Anfrage gestellt hatte. Aus Sicherheitsgründen wollte ich wissen, wer eine solche Anfrage gestellt hatte, und prüfen, ob Indeed Zugriffsprotokolle hatte, also tippte ich es auf meinem Telefon ein.
Da ich Indeed schon ewig nicht mehr verwendet hatte, konnte ich mich nicht an mein Passwort erinnern, also wählte ich natürlich „Mit Google anmelden“. Es führte mich zu Indeed und ich konnte kein Anfrageprotokoll finden. Da ich wusste, dass meine alten Logins bereits im Darknet waren, dachte ich, jemand müsse sich Zugang zu meinem Indeed verschafft haben, und aktivierte 2FA.
Ehrlich gesagt war mir Indeed ziemlich egal, auch wenn es gelöscht wurde, und ich dachte, es sei nur ein kleiner Hobby-Hacker, der mit einem alten Login aus einem alten, offengelegten Datenbankleck herumspielte.
Es stellte sich heraus, dass die Indeed-E-Mail ein #spoofed -Phishing-Angriff war. Der Indeed-Link, auf den ich in der Gmail-App getippt hatte, war ein geskripteter südkoreanischer Weblink, der mich wiederum auf eine gefälschte Indeed-Site umleitete, die meine Anmeldung mit Google erfasste und mich dann auf die echte Indeed-Site umleitete. Sie entführten das Sitzungscookie, wodurch sie 2FA umgehen konnten, griffen dann auf mein Google-Konto zu und missbrauchten die Browsersynchronisierung.
Weitere allgemeine Erkenntnisse aus der Opsec:
1. Die mobile Gmail-App zeigt standardmäßig nicht die echte E-Mail-Adresse des Absenders oder Link-URLs an, was ein großer Opsec-Fehler ist. Tippen Sie in Ihrem mobilen E-Mail-Client nicht auf mobile Links.
2. Verwenden Sie nicht die Funktion „Mit Google anmelden“ oder andere #oAuth -Funktionen. Der Komfort ist es nicht wert, da Phishing-Angriffe die 2FA leicht umgehen können. Auch wenn es nicht daran liegt, dass Sie auf einen Phishing-Link geklickt haben, kann eine normale Website ohne Ihr Verschulden kompromittiert werden.Die Erwartungen an die 2FA-Sicherheit haben mich enttäuscht.