continúa
Actualización sobre el robo #hack y lecciones adicionales de opsec aprendidas:
Ahora he confirmado además que el vector de ataque de derivación #2FA era un ataque de hombre en el medio. Recibí un correo electrónico de la plataforma de búsqueda de empleo Indeed informándome que recibieron una solicitud para eliminar mi cuenta dentro de los 14 días. Estaba en la cama en ese momento y lo hacía desde mi teléfono a través de la aplicación móvil de Gmail.
No había usado Indeed desde siempre y no me interesa, pero obviamente pensé que era inusual, ya que no hice tal solicitud. Por precaución de seguridad, quería saber quién hizo dicha solicitud y quería verificar si Indeed tenía registros de acceso, así que lo toqué en mi teléfono.
Como no usé Indeed para siempre, no recordaba mi contraseña, así que, naturalmente, elegí Iniciar sesión con Google. Me llevó a Indeed y no pude encontrar un registro de solicitudes. Como sabía que mis inicios de sesión anteriores ya estaban en la web oscura, pensé que alguien debía haber ingresado a mi Indeed, por lo que procedí a habilitar 2FA.
Honestamente, no me importaba mucho Indeed, incluso si se eliminara, y pensé que era solo un hacker aficionado de poca monta que estaba jugando con un antiguo inicio de sesión de alguna antigua filtración de base de datos expuesta.
Resulta que el correo electrónico de Indeed era un ataque de phishing #spoofed . El enlace de Indeed que toqué en la aplicación Gmail era un enlace web escrito en Corea del Sur, que a su vez me dirigió a un sitio de Indeed falso, que capturó mi Iniciar sesión con Google y luego me dirigió al sitio de Indeed real. Secuestraron la cookie de sesión que les permitió eludir 2FA, luego accedieron a mi cuenta de Google y abusaron de la sincronización del navegador.
Otras lecciones generales de opsec aprendidas:
1. La aplicación móvil de Gmail no mostrará el verdadero correo electrónico del remitente ni las URL de enlace de forma predeterminada, lo cual es un gran defecto de opsec. Abstente de tocar enlaces móviles en tu cliente de correo electrónico móvil.
2. Abstenerse de utilizar Iniciar sesión con Google u otras funciones del #oAuth . La conveniencia no vale la pena debido a la facilidad de los ataques de phishing para evitar 2FA. Incluso si no es por hacer clic en un enlace de phishing, un sitio web normal podría verse comprometido sin que usted tenga la culpa. Las expectativas de seguridad 2FA me bajaron la guardia.
