继续
#hack 盗窃案的最新消息和额外的 opsec 经验教训:
我现在进一步确认 #2FA 绕过攻击媒介是中间人攻击。我收到了来自 Indeed 求职平台的电子邮件,通知我他们收到了在 14 天内删除我帐户的请求。当时我正在睡觉,正在通过手机上的 Gmail 应用程序执行此操作。
我很久没用过 Indeed 了,也不在乎它,但显然我认为这是不寻常的,因为我没有提出这样的请求。出于安全预防措施,我想知道是谁提出了这样的请求,并想检查 Indeed 是否有访问日志,所以我在手机上点击了它。
因为我很久没用过 Indeed,所以我不记得我的密码,所以自然而然地我选择了使用 Google 登录。它把我带到了 Indeed,但我找不到请求日志。因为我知道我的旧登录信息已经在暗网上,所以我猜想一定是有人进入了我的 Indeed,所以我继续启用 2FA。
老实说,即使 Indeed 被删除了,我也不太在意,我以为这只是一些业余黑客在利用一些旧数据库泄露的旧登录信息。
事实证明,Indeed 电子邮件是 #spoofed 网络钓鱼攻击。我在 Gmail 应用程序中点击的 Indeed 链接是一个脚本化的韩国网络链接,它反过来将我路由到一些假的 Indeed 网站,该网站捕获了我使用 Google 登录,然后将我路由到真正的 Indeed 网站。他们劫持了会话 cookie,使他们能够绕过 2FA,然后访问我的 Google 帐户并滥用浏览器同步。
进一步吸取的一般 opsec 教训:
1. 移动 Gmail 应用程序默认不会显示发件人的真实电子邮件或链接 URL,这是一个很大的 opsec 漏洞。不要在您的移动电子邮件客户端中点击移动链接。
2. 不要使用“通过 Google 登录”或其他 #oAuth 功能。这种便利并不值得,因为网络钓鱼攻击很容易绕过 2FA。即使不是由于点击了钓鱼链接,普通网站也可能受到攻击,而这并不是您的错。对 2FA 安全的期望让我放松了警惕。