continuare

Actualizare despre #hack furt și lecții suplimentare despre opsec învățate:

Am confirmat în continuare că vectorul de atac de ocolire #2FA a fost un om în atacul de mijloc. Primisem un e-mail de la platforma de căutare de locuri de muncă Indeed în care mă informa că au primit o solicitare de ștergere a contului meu în termen de 14 zile. Eram în pat în acel moment și o făceam de pe telefon prin aplicația mobilă Gmail.

Nu am folosit Indeed pentru totdeauna și nu-mi pasă de el, dar evident că mi s-a părut neobișnuit, deoarece nu am făcut o astfel de cerere. Din măsuri de siguranță, am vrut să știu cine a făcut o astfel de solicitare și am vrut să verific dacă Indeed are jurnalele de acces, așa că l-am apăsat pe telefon.

Deoarece nu am folosit Indeed pentru totdeauna, nu mi-am amintit parola, așa că am ales în mod natural Conectați-vă cu Google. M-a dus la Indeed și nu am putut găsi un jurnal de solicitări. Deoarece știam că vechile mele date de conectare se aflau deja pe darkweb, m-am gândit că cineva trebuie să fi intrat în Indeed-ul meu și am continuat să activez 2FA.

Sincer, nu mi-a păsat prea mult de Indeed, chiar dacă ar fi fost șters și am crezut că este doar un hacker hobby care se încurcă cu o autentificare veche de la o scurgere veche a bazei de date expuse.

Se pare că e-mailul Indeed a fost un atac de tip phishing #spoofed . Linkul Indeed pe care l-am accesat în aplicația Gmail era un link web scriptat din Coreea de Sud, care, la rândul său, m-a direcționat către un site Indeed fals, care mi-a capturat Conectarea cu Google, apoi m-a direcționat către site-ul real Indeed. Au deturnat cookie-ul de sesiune permițându-le să ocolească 2FA, apoi mi-au accesat contul Google și abuzau de sincronizarea browserului.

Alte lecții generale despre opsec învățate:

1. Aplicația Gmail mobilă nu va afișa în mod implicit e-mailul real al expeditorului sau adresele URL de link, ceea ce este o mare defecțiune opsec. Evitați să atingeți linkurile mobile în clientul dvs. de e-mail mobil.

2. Abțineți-vă de la a utiliza Conectare cu Google sau alte funcții #oAuth . Confortul nu merită din cauza ușurinței atacurilor de phishing pentru a ocoli 2FA. Chiar dacă s-ar putea să nu se datoreze clicului pe un link de phishing, un site web obișnuit ar putea fi compromis fără nicio vină a dumneavoastră. Așteptările de securitate 2FA îmi lasă garda jos.