Как взломать двухфакторную аутентификацию
Доброго времени суток, дорогой читатель. Сегодня мы поговорим о такой вещи, как двухфакторная аутентификация. На нашем сайте уже есть разбор, что это такое и зачем она нужна.
Большинство пользователей интернета знают о Даркнете. Многие даже пытались зайти и купить там, что-либо. Те, кто уже прошарен в этой теме знают, что в таких местах легко можно приобрести запрещенные товары или услуги, в том числе и взлом любого аккаунта. Конечно, его можно заказать и в Клирнете, но тут происходит недоверие к людям, предлагающим эти услуги. Ведь, как так, мы находимся на светлой, незащищённой стороне паутины, они не боятся ответственности? Или это очередная уловка мошенников?
Ну, речь не об этом, мы немного отвлеклись. В большинстве таких случаев Взлом производят при помощи «фишинга».
Что такое фишинг?
-Это вид интернет-мошенничества, в результате которого можно получить доступ к личным данным, таким как пароль и логин. Совершается фишинг путём распространения электронных писем, личных сообщений, якобы от популярного бренда, банка и тд. Вы переходите по ссылке на страницу, обманутые её «чистотой» и вводите свой логин и пароль. После этого владелец вашей странички или электронной почты уже, увы, не вы, а человек немного поумнее и хитрее.
Но спустя время более опытные и закалённые горьким опытом жизни юзеры начали понимать, что бренды и банки такими делами особо и не занимаются, поэтому такой способ утерял свою надежность.
Как пробить двухфакторку
Самый нашумевший и трудоёмкий способ эксперементально выявлен австралийским исследователем Шубхамом Шахом (Shubham Shah). Парню было всего 18 лет, когда он многим открыл глаза на ненадежность 2FA.
В его статье «Как я обошел двухфакторную аутентификацию в Google, Facebook, Yahoo,LinkedIn и многих других» молодой человек подмечает, что при виде аутентификации он думал: «Можно ли произвести взлом такими способами, как»:
- Брутфорс(полный перебор) пина 2FA
- Нахождение в потоке различные векторы использования, которые позволили бы полностью ее обойти
- Попробовать обнаружить изъян в создании штифтов
- Украсть токены сеанса после того, как пройдет 2FA
Все они, по его словам, являются действительными вариантами атак, но навряд ли будут работать, ибо настолько простейшие и уже явно защищены.
После перебора всех этих способов Шубхам понял, что на всех сервисах с 2FA есть слабое место — голосовая почта.
Ибо для получения полного доступа к ящику нужно всего лишь узнать номер жертвы, а затем использовать сервис подделки контактного номера, типа Spoofcard.
Перейдем к последовательности действий(с твоего позволения, в роли хакмастера будешь ты):
- Ты авторизируешься в системе под маской жертвы, ну, как умеем, девочки, используя чужой пароль.
2.Звонишь жертве, как в очень страшном кино, но тут дожидаться пока она возьмёт трубку лучше не стоит. - Не медля ни секунды делаешь подмену отправки кода на звонок по телефону.
- Так как на линии висишь ты, а не робот для распространения кода 2FA, то его немедленно переправляют на голосовую почту.
- Просто прослушиваешь пришедшее сообщение используя номер через тот самый сервис.
Всё, поздравляю, ты, друг мой посвящён в хакеры. Кстати, большинство интернет-компаний до сих пор не закрыли и не поправили этот изъян, аргументируя это тем, что нам, юным гениям нужно изначально розумить пароль пользователя, так что его ЭВМ уже скомпрометирован.
На всякий случай оставляю вам ссылочку, можете почитать полную статью на эту тему https://shubs.io/how-i-bypassed-2-factor-authentication-on-google-yahoo-linkedin-and-many-others/
Вариант под номером два.
Modlishka от Душиньского(Петра)
В начале 2019 поляк Пётр Душиньский выложил в открытый доступ реверс-прокси «Modlishka». С его слов данный инструмент имеет возможность обойти 2FA.
Есть похожий инструмент для взлома, называется SEToolkit (встроен почти во все рейтинговые дистрибутивы для пентеста (программы для оценки безопасности).
Но различия их состоят в том, что SET копирует и помещает на определённом сервере страницу авторизации. Тут всё основано на работе скриптов, что перехватывают вводимые данные жертвы. Несомненно можно настроить перенаправление URL на оригинальный сайт, но так как трафик от твоего компьютера до человека, которого ты хочешь переиграть и уничтожить будет не конфеденциальным, то можешь легко прогореть. Ну, либо основывай свой личный фишинговый сайт.
Дам несколько советов, если всё-таки решишься на эту аферу
- Адрес твоего сайта не должен быть типа «Ykrady_tvoy_str.ru/:)0)», будь наиболее близок к оригиналу сайта учётные данные которого хочешь позаимствовать
- Соблюдай безопасное соединение HTTPS
- Ну и после ввода данных и нажатия кнопки «вход», жертва не должна видеть фото извини меня, кукиша, всё крайне официально и сдержанно.
Также можешь воспользоваться программой eviliginx2. Данная программа автоматизирует многие технические аспекты и выступает как прозрачный прокси для получения токена, с лёгкостью овладевает действительным SSL сертификатом для субдомена (упроститель навигации по различным разделам веб-сайта) ну и сохраняет для тебя введённые данные и перехваченные маркеры. Короче, весьма приветливая программка. Но, спешу тебя расстроить, воспользоваться ей можно только с разрешения стороны, данные которой хочешь получить, говорит сайт hackware.ru Поэтому обидка и печаль.
Так вот.
Modlishka же действует по другому признаку. Тут уже создается свой сертификат, которым шифруется путь от жертвы до твоего сервака, а потом эта махина выступает в роли обратного прокси.
Легче говоря, у тебя-учетные данные и авторизированная сессия жертвы, а у неё-седые волосы.
На сайте xaker.ru ты можешь посмотреть как проверяется вся информация о Modlishke на практике, ссылочку оставлю ниже
https://xakep.ru/2019/05/28/fuck-2fa/
А теперь интересные сведения о вредоносных приложениях с Google Play:
В плей маркете появились интересные приложения, способные передать ваши данные злоумышленникам. В основном, это фальшивки турецких криптобирж на подобии BTCTruk, BTCTruk Beta и BTCTrak Pro Beta (очень оригинально, согласна)
Заключается всё мошенничестно в том, что после установки, они предлагают тебе ввести учетные данные для входа на биржу. После этого действия, как и следовало ожидать, страница на которой ты сидел подменяется фишинговой и отправляет твоё бесценное сокровище суперхакерам из турции. Зачем им твой акк, не ясно, но теперь он их.
Даже после того, как Google запретил сторонним приложениям получать доступ к звонкам и смс, злодеи обучили своё дитя запрашивать доступ к системе уведомлений, откуда оно копировало уникальный код 2ФА и передавало его им.
К слову, если ваш телеграм-канал попытаются взломать, и им это удастся, то советую изначально все любимые диалоги запрятать в секретные, ибо при просочении в ваш акк хакер получает все диалоги и контакты незасекреченных чатов. Также, Паша Дуров рекомендует привязывать аккаунт к «SIM-карте адекватной юрисдикции». С камнем в огород МТС.
О, и советую почитать эту статью, чтобы быть полностью вооружённым и способным взломать почти что угодно, мой юный(или нет) пират
https://habr.com/ru/post/171037/
Ну, думаю, это всё, что я могла вам сообщить. Надеюсь, изложила все аспекты крайне понятно и просто. Спасибо за прочтение и до встречи!
Ваша Мила Суккулент