続き

#hack 盗難に関する最新情報と、学んだ追加のオペレーション セキュリティの教訓:

#2FA バイパス攻撃ベクトルが中間者攻撃であったことをさらに確認しました。 Indeed 求人検索プラットフォームから、14 日以内にアカウントを削除するよう要求があったことを知らせるメールが届きました。当時私はベッドにいて、携帯電話のモバイル Gmail アプリから削除していました。

私は Indeed をずっと使っていなかったし、気にも留めていませんが、そのような要求をしたわけではないので、明らかに異常だと思いました。セキュリティ上の予防措置として、誰がそのような要求をしたのかを知りたかったし、Indeed にアクセス ログがあるかどうかを確認したかったので、携帯電話でタップしました。

私は Indeed をずっと使っていなかったため、パスワードを覚えていなかったので、当然 Google でサインインを選択しました。Indeed に移動しましたが、要求ログは見つかりませんでした。古いログイン情報がダークウェブ上にすでに存在していたことはわかっていたので、誰かが私の Indeed に侵入したに違いないと考え、2FA を有効にしました。

正直言って、Indeed が削除されたとしても、私はあまり関心がなく、公開された古いデータベース漏洩から古いログイン情報をいじっている、趣味でやっている小さなハッカーだと思っていました。

結局、Indeed のメールは #spoofed フィッシング攻撃でした。Gmail アプリでタップした Indeed リンクは、スクリプト化された韓国の Web リンクで、偽の Indeed サイトに誘導され、Google でサインインした情報がキャプチャされて、本物の Indeed サイトに誘導されました。彼らはセッション クッキーを乗っ取って 2FA を回避し、私の Google アカウントにアクセスしてブラウザ同期を悪用しました。

さらに学んだ一般的な opsec の教訓:

1. モバイル Gmail アプリは、送信者の実際のメール アドレスやリンク URL をデフォルトで表示しません。これは大きな opsec の欠陥です。モバイル メール クライアントでモバイル リンクをタップしないでください。

2. Google でサインインやその他の #oAuth 機能の使用は控えてください。フィッシング攻撃によって 2FA が簡単に回避されるため、その便利さは価値がありません。フィッシング リンクをクリックしたせいでなくても、自分の責任ではないのに通常の Web サイトが侵害される可能性があります。2FA セキュリティに対する期待が私の警戒を緩めました。