繼續

#hack 盜竊案的最新消息和額外的 opsec 經驗教訓：

我現在進一步確認 #2FA 繞過攻擊媒介是中間人攻擊。我收到了來自 Indeed 求職平臺的電子郵件，通知我他們收到了在 14 天內刪除我帳戶的請求。當時我正在睡覺，正在通過手機上的 Gmail 應用程序執行此操作。

我很久沒用過 Indeed 了，也不在乎它，但顯然我認爲這是不尋常的，因爲我沒有提出這樣的請求。出於安全預防措施，我想知道是誰提出了這樣的請求，並想檢查 Indeed 是否有訪問日誌，所以我在手機上點擊了它。

因爲我很久沒用過 Indeed，所以我不記得我的密碼，所以自然而然地我選擇了使用 Google 登錄。它把我帶到了 Indeed，但我找不到請求日誌。因爲我知道我的舊登錄信息已經在暗網上，所以我猜想一定是有人進入了我的 Indeed，所以我繼續啓用 2FA。

老實說，即使 Indeed 被刪除了，我也不太在意，我以爲這只是一些業餘黑客在利用一些舊數據庫泄露的舊登錄信息。

事實證明，Indeed 電子郵件是 #spoofed 網絡釣魚攻擊。我在 Gmail 應用程序中點擊的 Indeed 鏈接是一個腳本化的韓國網絡鏈接，它反過來將我路由到一些假的 Indeed 網站，該網站捕獲了我使用 Google 登錄，然後將我路由到真正的 Indeed 網站。他們劫持了會話 cookie，使他們能夠繞過 2FA，然後訪問我的 Google 帳戶並濫用瀏覽器同步。

進一步吸取的一般 opsec 教訓：

1. 移動 Gmail 應用程序默認不會顯示發件人的真實電子郵件或鏈接 URL，這是一個很大的 opsec 漏洞。不要在您的移動電子郵件客戶端中點擊移動鏈接。

2. 不要使用“通過 Google 登錄”或其他 #oAuth 功能。這種便利並不值得，因爲網絡釣魚攻擊很容易繞過 2FA。即使不是由於點擊了釣魚鏈接，普通網站也可能受到攻擊，而這並不是您的錯。對 2FA 安全的期望讓我放鬆了警惕。