turpinājums
Atjauninājums par #hack zādzību un papildu opsec mācībām:
Tagad esmu vēl vairāk apstiprinājis, ka #2FA apvedceļa uzbrukuma vektors bija vīrietis vidū uzbrukumā. Es biju saņēmis e-pasta ziņojumu no Indeed darba meklēšanas platformas, kurā mani informēja, ka viņi ir saņēmuši pieprasījumu dzēst manu kontu 14 dienu laikā. Es tajā laikā gulēju un darīju to no sava tālruņa, izmantojot mobilo Gmail lietotni.
Es nebiju lietojis Indeed mūžīgi un man tas nerūp, bet acīmredzot man tas likās neparasti, jo es neizteicu šādu pieprasījumu. Drošības apsvērumu dēļ es vēlējos uzzināt, kurš ir iesniedzis šādu pieprasījumu, un vēlējos pārbaudīt, vai Indeed ir piekļuves žurnāli, tāpēc es pieskāros tam savā tālrunī.
Tā kā es neizmantoju Indeed mūžīgi, es neatcerējos savu paroli tik dabiski, ka izvēlējos Pierakstīties ar Google. Tas aizveda mani uz Indeed, un es nevarēju atrast pieprasījumu žurnālu. Tā kā es zināju, ka mani vecie pieteikumvārdi jau bija tumšajā tīklā, es sapratu, ka kāds ir iekļuvis manā Indeed, un tāpēc es turpināju iespējot 2FA.
Godīgi sakot, es par Indeed neinteresējos pat tad, ja tas tika izdzēsts, un domāju, ka tas ir tikai kāds īss vaļasprieka hakeris, kas sajaucas ar vecu pieteikumvārdu no kādas vecas atklātas datu bāzes noplūdes.
Izrādās, ka Indeed e-pasts bija #spoofed pikšķerēšanas uzbrukums. Saite Indeed, kurai pieskāros Gmail lietotnē, bija skripta Dienvidkorejas tīmekļa saite, kas savukārt novirzīja mani uz kādu viltotu vietni Indeed, kas tvēra manu pierakstīšanos ar Google un pēc tam novirzīja mani uz īsto Indeed vietni. Viņi nolaupīja sesijas sīkfailu, ļaujot viņiem apiet 2FA, pēc tam piekļuva manam Google kontam un ļaunprātīgi izmantoja pārlūkprogrammas sinhronizāciju.
Citas vispārējās opsec mācības:
1. Mobile Gmail lietotne pēc noklusējuma neparādīs sūtītāja patieso e-pasta ziņojumu vai saišu vietrāžus URL, kas ir liels opsec trūkums. Mobilajā e-pasta klientā nepieskarieties mobilajām saitēm.
2. Neizmantojiet funkciju Pierakstīties ar Google vai citas #oAuth funkcijas. Ērtības nav tā vērtas, jo ir viegli pikšķerēšanas uzbrukumi, lai apietu 2FA. Pat ja tas var nebūt iemesls noklikšķināšanai uz pikšķerēšanas saites, parastā vietne var tikt apdraudēta bez jūsu vainas. Cerības uz 2FA drošību mani pievīla.