Flatstook пишет:-Касперский своровал аккаунт
-Какой то новый вирус, который не лечит касперский
-Вирус был у друга на ноутбуке
-Сотрудники гидры - в этом есть смысл, т. к. успел заметить, что деньги слились в рулетку
-хаккеры взломали базу гидры и зашли в аккаунт - но пароль не смогли поменять, т. к. он хранится зашифрованный в базе, просто установили 2FA
За 7 лет работы я ещё ни разу не видел человека, который после кражи акка фишерами сказал бы: "Я дебил, который логинился забив хуй на проверку адреса, переходил по разным левым ссылкам не задумываясь и т.д.". Вот честно, ни разу такого не было.
Причём, даже когда мы (подняв логи) находили конкретные пруфы, видели источник фишинговой ссылки, момент прохода по ней и смену пароля (и/или подключения 2фа), никто не признался, в своей глупости (или жадности).
И вот появляется очередной новорег, который утверждает, что пароль спиздили сотрудники Гидры, мусора, волшебники, ФСБ и т.д. А он такой белый и пушистый, всё делал правильно.
Копипаста для развития кругозора:
Фишинг представляет собой серьезную и постоянную угрозу.
Развитие все более совершенных методов в сочетании с высокими показателями успеха привело к удвоению количества фишинговых атак за последний год.
Несмотря на то, что фишинг имеет различные формы , все методы фишинга, по сути, упираются в попытку извлечь учетные данные ничего неподозревающего пользователя, посредством различных хитростей и манипуляций.
Непроницаемая двухфакторная стена пробита
Двухфакторная аутентификация (2fa) уже давно рассматривается как решающий аргумент в борьбе с фишинг - атаками. Логика, лежащая в основе этого представления, довольно проста: если учетная запись защищена дополнительным фактором, кражи пароля будет недостаточно для получения хакером доступа .
Участники конференции Hack-in-the-Box в Амстердаме представили инструментарий, способный автоматизировать фишинговые атаки, способный обойти даже двухфакторную аутентификацию (2FA).
Как им это удалось
Инструментарий, представленный на майской конференции Hack-in-the-Box, был создан для преодоления 2FA. Даже сложные варианты фишинговых атак, в которых злоумышленники создают фальшивые веб-страницы, и обманывая пользователей заставляют их вводить учетные данные, не позволяют хакерам преодолеть вторые факторы. Такая «статическая атака» не может взаимодействовать с реальным сайтом, к которому злоумышленники пытаются получить доступ. Таким образом, у них нет возможности сгенерировать легальный второй фактор с этого сайта, такой как одноразовый пароль, доставленный по электронной почте или SMS.
На практике это означает, что даже если хакерам удалось убедить обманным путем пользователя войти на свой поддельный сайт, им все равно не будет хватать второго фактора для успешного завершения атаки.
Новый метод использует инновационный подход к этой проблеме. Вместо того, чтобы просто создавать поддельную веб-страницу, инструментарий выступает в роли прокси между жертвой и легальным веб-сайтом. Когда ни о чем неподозревающий пользователь вводит свой пароль, сайт получает запрос на вход в систему. Это запускает генерацию подлинного второго фактора. После того, как жертва завершит вход в систему, хакеры могут продолжить работу на сайте с помощью взломанной учетной записи жертвы, используя ее как легальную.
Как отмечают наблюдатели, уязвимости, при которых такой тип фишинга возможен, известны уже много лет. Действительно, лидеры отрасли, такие как Google , предупреждают, что использование методов для преодоления 2FA, аналогичных тому, что представили на Hack-in-the-Box, находится на подъеме в течение достаточно долгого времени. Тем не менее, до сих пор, чтобы воспользоваться этими уязвимостями, требовалось достаточно передовое техническое ноу-хау.
Однако появление этого автоматизированного инструментария меняет правила игры. Этим было продемонстрировано, что киберпреступники, обладающие даже поверхностными знаниями, могут потенциально выполнять эти сложные атаки.
Будущее не сулит ничего хорошего
Хотя многие эксперты признали важность последствий использования подобного инструмента, но никто не пришел к очевидному выводу относительно того, что с этим делать. Большинство восприняло эту новость как еще одну причину для тренировки существующих методов, таких как «антифишинговая подготовка» и тому подобное.
Но реальный урок самой последней конференции Hack in the Box очевиден: ни один метод, каким бы сложным он ни был, не является полной защитой от фишинговых атак. Пока пароли остаются в основе аутентификации, а второй фактор необходимо вводить вручную (SMS, OTP), хакеры будут пытаться их украсть.
Организации должны искать такое решение для аутентификации, которое будет предотвращать использование атак типа «человек посередине». Пароли здесь не являются проблемой- даже если пользователь использует только одноразовые коды, он все равно будет уязвим - решением для такого рода атак является расширенная криптография типа разделения секрета, гарантирующая, что информация для аутентификации маршрутизируется несколькими каналами.
Кратко подведём итоги:
Чудес не бывает!
Всегда контролируйте свои действия.
Помните, что Authy или Google Authenticator можно обойти.
Используйте 2fa на базе pgp.
