продовження
Оновлена інформація про крадіжку #hack та отримані додаткові уроки з безпеки:
Тепер я додатково підтвердив, що вектор обхідної атаки #2FA був людиною в центрі атаки. Я отримав електронний лист від платформи пошуку роботи Indeed, у якому повідомлялося, що вони отримали запит на видалення мого облікового запису протягом 14 днів. У той час я лежав у ліжку і робив це зі свого телефону через мобільний додаток Gmail.
Я не використовував Indeed назавжди і мені це байдуже, але, очевидно, я вважав це незвичним, оскільки я не робив такого запиту. З міркувань безпеки я хотів знати, хто зробив такий запит, і хотів перевірити, чи дійсно Indeed має журнали доступу, тому я прослухав його на своєму телефоні.
Оскільки я не використовував Indeed назавжди, я не запам’ятав свій пароль, тому, природно, я вибрав «Увійти за допомогою Google». Я перейшов до Indeed, і я не міг знайти журнал запитів. Оскільки я знав, що мої старі логіни вже були в темній мережі, я вирішив, що хтось, мабуть, проник у мій Indeed, тому я продовжив увімкнути 2FA.
Чесно кажучи, мені було байдуже до Indeed, навіть якщо його видалили, і я вважав, що це просто якийсь невеликий хакер-хобі, який возиться зі старим логіном через якийсь старий викритий витік бази даних.
Виявилося, що електронний лист Indeed був фішинговою атакою #spoofed . Посилання Indeed, яке я натиснув у додатку Gmail, було написаним південнокорейським веб-посиланням, яке, у свою чергу, скерувало мене на якийсь підроблений сайт Indeed, який зафіксував мій вхід за допомогою Google, а потім скерував мене на справжній сайт Indeed. Вони викрали файли cookie сеансу, що дозволило їм обійти 2FA, а потім отримали доступ до мого облікового запису Google і зловживали синхронізацією браузера.
Подальші загальні уроки opsec:
1. Мобільна програма Gmail за замовчуванням не показуватиме справжню електронну пошту відправника чи URL-адреси посилань, що є великим недоліком opsec. Утримайтеся від натискання мобільних посилань у вашому мобільному поштовому клієнті.
2. Утримайтеся від використання входу за допомогою Google або інших #oAuth функцій. Зручність того не варта через легкість фішингових атак для обходу 2FA. Навіть якщо це може бути не через натискання фішингового посилання, звичайний веб-сайт може бути скомпрометовано без вашої вини. Очікування безпеки 2FA підвели мене.
