suite Mise à jour sur le vol #hack et leçons opsec supplém

suite
Mise à jour sur le vol #hack   et leçons opsec supplémentaires apprises :
J'ai maintenant en outre confirmé que le vecteur d'attaque de contournement #2FA   était une attaque d'homme au milieu. J'avais reçu un e-mail de la plateforme de recherche d'emploi Indeed m'informant qu'ils avaient reçu une demande de suppression de mon compte dans les 14 jours. J'étais au lit à ce moment-là et je le faisais depuis mon téléphone via l'application mobile Gmail.
Je n'avais pas utilisé Indeed depuis toujours et je m'en fiche, mais j'ai évidemment pensé que c'était inhabituel, car je n'ai pas fait une telle demande. Par mesure de sécurité, je voulais savoir qui avait fait une telle demande et vérifier si Indeed disposait de journaux d'accès, alors je l'ai tapé sur mon téléphone.
Comme je n'ai pas utilisé Indeed depuis toujours, je ne me suis pas souvenu de mon mot de passe, j'ai donc naturellement choisi Se connecter avec Google. Cela m'a amené à Indeed et je n'ai pas trouvé de journal des demandes. Parce que je savais que mes anciennes connexions étaient déjà sur le darkweb, j'ai pensé que quelqu'un devait avoir accédé à mon Indeed, et j'ai donc procédé à l'activation de 2FA.
Honnêtement, je ne m'en souciais pas beaucoup, même s'il était supprimé, et je pensais que c'était juste un petit pirate amateur qui jouait avec une ancienne connexion provenant d'une ancienne fuite de base de données exposée.
Il s'avère que l'e-mail Indeed était une attaque de phishing #spoofed  . Le lien Indeed que j'ai exploité dans l'application Gmail était un lien Web sud-coréen scripté, qui à son tour m'a redirigé vers un faux site Indeed, qui a capturé ma connexion avec Google, puis m'a redirigé vers le vrai site Indeed. Ils ont détourné le cookie de session leur permettant de contourner 2FA, puis ont accédé à mon compte Google et abusé de la synchronisation du navigateur.
Autres leçons générales d’opérationsec apprises :
1. L'application mobile Gmail n'affichera pas par défaut les véritables URL de courrier électronique ou de lien de l'expéditeur, ce qui constitue un gros défaut opsec. Évitez d'appuyer sur les liens mobiles dans votre client de messagerie mobile.
2. Évitez d'utiliser la connexion avec Google ou d'autres fonctionnalités #oAuth  . La commodité n’en vaut pas la peine en raison de la facilité des attaques de phishing pour contourner 2FA. Même si cela n’est pas dû au fait d’avoir cliqué sur un lien de phishing, un site Web classique pourrait être compromis sans que vous en soyez responsable. Les attentes en matière de sécurité 2FA ont baissé ma garde.
Découvrez-en plus sur le créateur

Dernières actualités
