Иранските фишисти заобикалят предлаганите 2fa защити от Yahoo Mail и Gmail

„ИранскиУвеличи

Неотдавнашна фишинг кампания, насочена към правителствените служители на САЩ, активисти и журналисти е забележително за използването на техника, която позволи на нападателите да заобиколят двуфакторното удостоверяване защити, предлагани от услуги като Gmail и Yahoo Mail, казаха изследователи в четвъртък. Събитието подчертава рисковете от 2fa който разчита на влизане с едно докосване или еднократни пароли, особено ако последните се изпращат в SMS съобщения до телефони.

Събраха се нападатели, работещи от името на иранското правителство подробна информация за целите и използва тези знания за писане копия с фишинг, които са пригодени към нивото на целите оперативна сигурност, изследователи с охранителна фирма Certfa Lab се казва в публикация в блога. Имейлите съдържаха скрито изображение, което алармираха нападателите в реално време, когато целите гледаха съобщения. Когато целите въвеждат пароли във фалшив Gmail или Yahoo страница за сигурност, нападателите почти едновременно ще влязат в идентификационни данни в истинска страница за вход. В събитието се насочва към акаунти бяха защитени от 2fa, нападателите пренасочиха целите към нова страница, която поиска еднократна парола.

„С други думи, те проверяват потребителските имена и паролите на жертвите в реално време на собствените си сървъри и дори ако 2 фактор удостоверяване като текстово съобщение, приложение за удостоверяване или влизане с едно докосване са разрешени са да подмамят цели и да откраднат и тази информация. ” Писаха изследователи на лабораторията в Certfa.

В имейл представител на Certfa каза, че компанията изследователи потвърди, че техниката е нарушила успешно сметките защитени от SMS-базирани 2fa. Изследователите не можаха да потвърдят техниката успя срещу акаунти, защитени от 2fa, че предава еднократни пароли в приложения като Google Authenticator или съвместимо приложение от Duo Security.

„Видяхме [то] се опита да заобиколи 2fa за Google Удостоверител, но не сме сигурни дали са успели да направят подобно нещо или не, ” Писа представител на Certfa. „Със сигурност знаем, че хакерите имат заобиколен 2fa чрез SMS. ”

Еднократните пароли могат да бъдат фиширани, но не и ключове за защита

На теория има малка причина техниката да не работи срещу Google Authenticator и други 2fa приложения, които или изпратете еднократна парола или помолете хората да кликнат върху одобрение бутон. След като целта въведе парола за това, което тя вярва, е автентичен Gmail или Yahoo Mail сайт, тя или ще отвори 2fa приложение, както е указано в фалшивото пренасочване или получете тласък известие от приложението за телефон Стига целта да реагира в рамките на определено време (обикновено 30 секунди) нападателите ще получат достъп. Единственото нещо, което 2fa направи в това сценарий е добавяне на допълнителна стъпка.

Забележителното изключение е, че тази атака е невъзможна при най-малко на теория, срещу 2fa, който използва стандартен отрасъл ключ за защита. Тези клавиши се свързват чрез компютърен USB или чрез използване Bluetooth или комуникация в близост до телефона на телефон. Gmail и други Понастоящем типовете профили в Google имат възможност да работят ключове, които съответстват на U2F, стандарт, разработен от индустрия консорциум, известен като Fido Alliance. Двугодишно проучване на повече повече от 50 000 служители на Google заключиха, че клавишите за защита бият смартфони и повечето други форми на двуфакторна проверка и в двете сигурност и лекота на използване.

Google предлага и програма за разширена защита, която изисква защитни ключове, които да се използват като единствено средство на 2fa при достъп Gmail и други видове профили в Google. Макар че това е стъпка много организациите може да не са готови за приемане, все още има смисъл обикновените хора да придобият навика да използват ключ за защита колкото повече възможно е, въпреки че базираната на приложение 2fa остава като a резервна форма за удостоверяване. Целта на тази стратегия е да обучете потребителите да бъдат подозрителни, ако сайтът, в който влизат, казва да използват приложението си 2fa вместо ключа, който обикновено използват.

Фишинг кампанията, докладвана от Certfa, беше ефективна за други причини освен заобикалянето му от 2fa. Например, той е домакин злонамерени страници на sites.google.com и изпратени имейли от адреси като notifications.mailservices@gmail.com и noreply.customermails@gmail.com, за да остави впечатление съдържанието беше официално свързан с Google. Фишерите също се посветиха повече от 20 отделни интернет домейни, за да се адаптира по-добре използване на имейл услуги на компютри и телефони.

Certfa каза, че някои от домейните и IP адресите, използвани в кампания свържете фишерите с „Очарователно коте“, хакерска група преди това свързан с иранското правителство. Последната кампания започна седмици преди САЩ да наложи отново санкции срещу иранските правителство в началото на ноември. Фишингът е насочен към хора, които участват в санкциите, както и политици, граждански и правозащитници и журналисти по целия свят. Според към Асошиейтед прес, целите включваха защитници на висок профил, нарушители и изпълнители на ядрената сделка между тях Вашингтон и Техеран, арабски атомни учени, ирански гражданин обществени фигури, служители на Вашингтонския мозъчен тръст и повече от дузина служители на Министерството на финансите на САЩ.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: