continuação
Atualização sobre o roubo #hack e lições adicionais de opsec aprendidas:
Agora confirmei ainda mais que o vetor de ataque de desvio #2FA era um ataque man in the middle. Recebi um e-mail da plataforma de busca de empregos Even informando que eles receberam uma solicitação para excluir minha conta em 14 dias. Eu estava na cama naquele momento e fazia isso do meu telefone por meio do aplicativo Gmail para celular.
Eu não usava o Even há muito tempo e não me importo com isso, mas obviamente achei incomum, pois não fiz tal pedido. Por precaução de segurança, eu queria saber quem fez tal solicitação e verificar se o Even tinha registros de acesso, então toquei no meu telefone.
Como não usei o Even desde sempre, não me lembrei da minha senha, então naturalmente escolhi Fazer login com o Google. Levei-me ao Even e não consegui encontrar um log de solicitação. Como eu sabia que meus logins antigos já estavam na darkweb, imaginei que alguém deveria ter entrado no meu Even e então habilitei o 2FA.
Honestamente, eu não me importava muito com o Even, mesmo que ele fosse excluído, e pensei que fosse apenas um hacker amador brincando com um login antigo de algum antigo vazamento de banco de dados exposto.
Acontece que o e-mail do Even foi um ataque de phishing #spoofed . O link do Even que toquei no aplicativo Gmail era um link da web sul-coreano com script, que por sua vez me direcionou para algum site falso do Even, que capturou meu Login com o Google e, em seguida, me direcionou para o site real do Even. Eles sequestraram o cookie de sessão, permitindo-lhes ignorar o 2FA, depois acessaram minha conta do Google e abusaram da sincronização do navegador.
Outras lições gerais de opsec aprendidas:
1. O aplicativo Gmail para celular não mostrará o e-mail verdadeiro do remetente ou URLs de link por padrão, o que é uma grande falha de opsec. Evite tocar em links móveis em seu cliente de e-mail móvel.
2. Evite usar o Login com o Google ou outros recursos do #oAuth . A conveniência não vale a pena devido à facilidade dos ataques de phishing para contornar o 2FA. Mesmo que não seja devido ao clique em um link de phishing, um site normal pode ser comprometido sem culpa sua. As expectativas da segurança 2FA baixaram minha guarda.