continua
Aggiornamento sul furto #hack e ulteriori lezioni apprese sull'opsec:
Ora ho ulteriormente confermato che il vettore di attacco di bypass #2FA era un attacco uomo nel mezzo. Avevo ricevuto un'e-mail dalla piattaforma di ricerca di lavoro di Indeed che mi informava che avevano ricevuto una richiesta di eliminazione del mio account entro 14 giorni. In quel momento ero a letto e lo stavo facendo dal mio telefono tramite l'app Gmail mobile.
Non uso Indeed da sempre e non mi interessa, ma ovviamente ho pensato che fosse insolito, dato che non avevo fatto una richiesta del genere. Per precauzione di sicurezza, volevo sapere chi aveva fatto tale richiesta e volevo controllare se Indeed disponesse di log di accesso, quindi l'ho cliccato sul mio telefono.
Poiché non ho utilizzato Indeed per sempre, non ricordavo la mia password, quindi naturalmente ho scelto Accedi con Google. Mi sono portato su Indeed e non sono riuscito a trovare un registro delle richieste. Poiché sapevo che i miei vecchi accessi erano già sul darkweb, ho pensato che qualcuno fosse entrato nel mio Indeed, quindi ho proceduto ad abilitare 2FA.
Onestamente non mi importava molto di Indeed, anche se veniva eliminato, e pensavo che fosse solo un piccolo hacker per hobby che scherzava con un vecchio login da qualche vecchia perdita di database esposta.
Risulta che l'e-mail di Indeed era un attacco di phishing #spoofed . Il collegamento Indeed che ho toccato nell'app Gmail era un collegamento Web sudcoreano con script, che a sua volta mi ha indirizzato a un falso sito Indeed, che ha catturato il mio accesso con Google, quindi mi ha indirizzato al vero sito Indeed. Hanno violato il cookie di sessione consentendo loro di bypassare la 2FA, quindi hanno effettuato l'accesso al mio account Google e hanno abusato della sincronizzazione del browser.
Ulteriori lezioni generali sull'Opsec apprese:
1. L'app Gmail mobile non mostrerà la vera email del mittente o gli URL dei collegamenti per impostazione predefinita, il che rappresenta un grosso difetto opsec. Evita di toccare i collegamenti mobili nel tuo client di posta elettronica mobile.
2. Astenersi dall'utilizzare Accedi con Google o altre funzionalità #oAuth . La comodità non ne vale la pena a causa della facilità degli attacchi di phishing per aggirare la 2FA. Anche se non è dovuto al clic su un collegamento di phishing, un normale sito Web potrebbe essere compromesso senza alcuna colpa da parte tua. Le aspettative della sicurezza 2FA mi hanno abbassato la guardia.