kontynuacja
Aktualizacja dotycząca kradzieży #hack i dodatkowe wnioski z operacji opsec:
Teraz dodatkowo potwierdziłem, że wektor ataku omijającego #2FA był człowiekiem w środkowym ataku. Otrzymałem wiadomość e-mail od platformy poszukiwania pracy Indeed z informacją, że w ciągu 14 dni otrzymali żądanie usunięcia mojego konta. Leżałam wtedy w łóżku i robiłam to na telefonie za pośrednictwem mobilnej aplikacji Gmail.
Nie korzystałem z Indeed od zawsze i nie przejmuję się tym, ale oczywiście uznałem to za nietypowe, bo nie składałem takiej prośby. Ze względów bezpieczeństwa chciałem wiedzieć, kto złożył taką prośbę i sprawdzić, czy Indeed ma logi dostępu, więc stuknąłem w to na telefonie.
Ponieważ nie korzystałem z serwisu Indeed od zawsze, nie pamiętałem hasła, więc naturalnie wybrałem Zaloguj się przez Google. Zaprowadziło mnie do serwisu Indeed i nie mogłem znaleźć dziennika żądań. Ponieważ wiedziałem, że moje stare loginy znajdowały się już w ciemnej sieci, pomyślałem, że ktoś musiał dostać się do mojego serwisu Indeed, więc zacząłem włączać 2FA.
Szczerze mówiąc, nie przejmowałem się zbytnio Indeed, nawet jeśli został usunięty, i myślałem, że to tylko jakiś mały haker hobbystyczny, bawiący się starym loginem z jakiegoś starego, ujawnionego wycieku bazy danych.
Okazuje się, że e-mail z serwisu Indeed był atakiem phishingowym o numerze #spoofed . Link do serwisu Indeed, który kliknąłem w aplikacji Gmail, był napisanym w skrypcie południowokoreańskim łączem internetowym, które z kolei przekierowało mnie do fałszywej witryny Indeed, która przechwyciła moje dane logowania za pomocą Google, a następnie przekierowała mnie do prawdziwej witryny Indeed. Przejęli plik cookie sesji, umożliwiając im ominięcie 2FA, a następnie uzyskali dostęp do mojego konta Google i nadużywali synchronizacji przeglądarki.
Dalsze ogólne wnioski dotyczące operacji opsec:
1. Mobilna aplikacja Gmail domyślnie nie wyświetla prawdziwych adresów e-mail ani linków nadawcy, co jest poważną wadą opsec. Powstrzymaj się od klikania łączy mobilnych w swoim mobilnym kliencie poczty e-mail.
2. Powstrzymaj się od korzystania z funkcji Zaloguj się przez Google lub innych funkcji #oAuth . Wygoda nie jest tego warta ze względu na łatwość ataków phishingowych mających na celu ominięcie 2FA. Nawet jeśli nie jest to spowodowane kliknięciem łącza phishingowego, bezpieczeństwo zwykłej witryny internetowej może nastąpić nie z Twojej winy. Oczekiwania dotyczące bezpieczeństwa 2FA ostudziły moją czujność.