16 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как взломать двухэтапный аккаунт

FUCK 2FA! Обходим двухфакторную аутентификацию с помощью Modlishka

Содержание статьи

  • Экскурс в 2FA
  • Modlishka
  • Поднимаем стенд
  • Ловим учетные данные и сессию жертвы
  • Готовый комплект за NAT
  • Взломать хакера
  • Выводы

Экскурс в 2FA

Во времена, когда сайты работали по HTTP и о защите толком никто и не думал, перехватить трафик с учетными данными было совсем несложно. Потом трафик стали шифровать, и хакерам пришлось придумывать более изощренные способы подмены и перенаправления маршрутов. Казалось бы, двухфакторная аутентификация окончательно решила проблему, но все дело в деталях ее реализации.

Метод 2FA (Two-Factor authentication) был придуман как дополнительный способ подтверждения владельца аккаунта. Он основан на нескольких способах аутентификации:

  • пользователь что-то знает (например, может ответить, какая была девичья фамилия его матери или кличка первого домашнего питомца);
  • пользователь обладает уникальными чертами, которые можно оцифровать и сравнить (биометрическая аутентификация);
  • пользователь имеет девайс с уникальным идентификатором (например, номер мобильного, флешку с ключевым файлом).

Первый метод еще встречается при восстановлении паролей по контрольным вопросам. Для регулярного использования он не годится, так как ответы не меняются и могут быть легко скомпрометированы. Второй способ чаще применяется для защиты данных на мобильных гаджетах и для авторизации клиентских приложений на серверах.

Самый популярный метод 2FA — третий. Это SMS с проверочными кодами, генерируемыми по технологии OTP. Код приходит каждый раз разный, поэтому угадать его практически невозможно.

Однако чем сложнее преодолеть защиту техническими методами, тем легче бывает это сделать социальной инженерией. Все настолько уверены в надежности 2FA, что используют ее для самых ответственных операций — от авторизации в Google (а это сразу доступ к почте, диску, контактам и всей хранимой в облаке истории) до систем клиент-банк.

Статья в тему:  Как создать облачный аккаунт

При этом возможность обхода такой системы уже показывал австралийский исследователь Шабхэм Шах (Shubham Shah). Правда, его метод был довольно сложен в практической реализации. В нем использовалась авторизация по звонку, а не SMS, а предварительно нужно было узнать номер телефона жертвы и часть учетных данных. PoC был не особо убедительным, но наметил вектор атаки.

Modlishka

В начале 2019 года польский исследователь Пётр Душиньский (Piotr Duszyński) выложил в открытом доступе реверс-прокси Modlishka. По его словам, этот инструмент может обойти двухфакторную аутентификацию, что мы сейчас и проверим.

Если сравнить его с тем же SEToolkit (он встроен практически во все популярные дистрибутивы для пентеста), то разница вот в чем: SET клонирует и размещает на локальном сервере страницу авторизации. Там все основано на работе скриптов, которые перехватывают вводимые учетные данные жертвы. Можно, конечно, настроить редирект на оригинальный сайт, но трафик от жертвы до твоего сервера будет незашифрованным. По сути, такого рода программы выступают в роли web-серверов с поддельным (фишинговым) сайтом.

Modlishka действует иначе. Генерируется свой сертификат, которым шифруется соединение от жертвы до нашего сервера (чтобы не палиться). Затем эта машина выступает в роли обратного прокси.

Другими словами, весь трафик идет на оригинальный сайт с инстанцией на нашем сервере. У хакера остаются учетные данные, и захватывается авторизованная сессия жертвы. Классическая MITM-атака, которую предваряет фишинг (нужно как-то заставить жертву установить поддельный сертификат и направить ее на фейковый сайт).

WARNING

Статья написана в образовательных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный изложенными здесь материалами.

Поднимаем стенд

Давай поднимем сервер с Modlishka внутри локальной машины. Я сделаю это на примере Kali Linux, но принципиальной разницы для других дистрибутивов не будет — разве что слегка изменится путь к исходникам Go.

Статья в тему:  Чтобы проверить что этот аккаунт принадлежит

Вначале ставим Go — на этом языке написан реверс-прокси, и без Go он не скомпилируется.

Следом указываем путь к директории исходников:

Проверить все можно командой

В выводе должен быть указан GOPATH.

Вывод команды

Затем клонируем ветку с инструментом.

Теперь необходимо перенести содержимое ключа и сертификата в файл plugin/autocert.go и заменить значение двух переменных:

  • const CA_CERT — значение сертификата (файл pem);
  • const CA_CERT_KEY — значение ключа (файл key).

Файл autocert.go после замены сертификата

Теперь собираем все это дело:

Занимает компиляция от трех до десяти минут в зависимости от количества вычислительных ресурсов.

Сам запускаемый файл находится в директории dist/ под названием proxy . Для проверки можно запустить с ключом -h — вывод справки.

Вывод справки программы Modlishka

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Как взломать двухфакторную аутентификацию

Доброго времени суток, дорогой читатель. Сегодня мы поговорим о такой вещи, как двухфакторная аутентификация. На нашем сайте уже есть разбор, что это такое и зачем она нужна.

Большинство пользователей интернета знают о Даркнете. Многие даже пытались зайти и купить там, что-либо. Те, кто уже прошарен в этой теме знают, что в таких местах легко можно приобрести запрещенные товары или услуги, в том числе и взлом любого аккаунта. Конечно, его можно заказать и в Клирнете, но тут происходит недоверие к людям, предлагающим эти услуги. Ведь, как так, мы находимся на светлой, незащищённой стороне паутины, они не боятся ответственности? Или это очередная уловка мошенников?
Ну, речь не об этом, мы немного отвлеклись. В большинстве таких случаев Взлом производят при помощи «фишинга».

Статья в тему:  Как удалить аккаунт в avon

Что такое фишинг?

-Это вид интернет-мошенничества, в результате которого можно получить доступ к личным данным, таким как пароль и логин. Совершается фишинг путём распространения электронных писем, личных сообщений, якобы от популярного бренда, банка и тд. Вы переходите по ссылке на страницу, обманутые её «чистотой» и вводите свой логин и пароль. После этого владелец вашей странички или электронной почты уже, увы, не вы, а человек немного поумнее и хитрее.
Но спустя время более опытные и закалённые горьким опытом жизни юзеры начали понимать, что бренды и банки такими делами особо и не занимаются, поэтому такой способ утерял свою надежность.

Как пробить двухфакторку

Самый нашумевший и трудоёмкий способ эксперементально выявлен австралийским исследователем Шубхамом Шахом (Shubham Shah). Парню было всего 18 лет, когда он многим открыл глаза на ненадежность 2FA.

В его статье «Как я обошел двухфакторную аутентификацию в Google, Facebook, Yahoo,LinkedIn и многих других» молодой человек подмечает, что при виде аутентификации он думал: «Можно ли произвести взлом такими способами, как»:

  • Брутфорс(полный перебор) пина 2FA
  • Нахождение в потоке различные векторы использования, которые позволили бы полностью ее обойти
  • Попробовать обнаружить изъян в создании штифтов
  • Украсть токены сеанса после того, как пройдет 2FA

Все они, по его словам, являются действительными вариантами атак, но навряд ли будут работать, ибо настолько простейшие и уже явно защищены.
После перебора всех этих способов Шубхам понял, что на всех сервисах с 2FA есть слабое место — голосовая почта.
Ибо для получения полного доступа к ящику нужно всего лишь узнать номер жертвы, а затем использовать сервис подделки контактного номера, типа Spoofcard.
Перейдем к последовательности действий(с твоего позволения, в роли хакмастера будешь ты):

  1. Ты авторизируешься в системе под маской жертвы, ну, как умеем, девочки, используя чужой пароль.
    2.Звонишь жертве, как в очень страшном кино, но тут дожидаться пока она возьмёт трубку лучше не стоит.
  2. Не медля ни секунды делаешь подмену отправки кода на звонок по телефону.
  3. Так как на линии висишь ты, а не робот для распространения кода 2FA, то его немедленно переправляют на голосовую почту.
  4. Просто прослушиваешь пришедшее сообщение используя номер через тот самый сервис.
    Всё, поздравляю, ты, друг мой посвящён в хакеры. Кстати, большинство интернет-компаний до сих пор не закрыли и не поправили этот изъян, аргументируя это тем, что нам, юным гениям нужно изначально розумить пароль пользователя, так что его ЭВМ уже скомпрометирован.
    На всякий случай оставляю вам ссылочку, можете почитать полную статью на эту тему https://shubs.io/how-i-bypassed-2-factor-authentication-on-google-yahoo-linkedin-and-many-others/
    Вариант под номером два.
    Modlishka от Душиньского(Петра)
    В начале 2019 поляк Пётр Душиньский выложил в открытый доступ реверс-прокси «Modlishka». С его слов данный инструмент имеет возможность обойти 2FA.
    Есть похожий инструмент для взлома, называется SEToolkit (встроен почти во все рейтинговые дистрибутивы для пентеста (программы для оценки безопасности).
Статья в тему:  Сколько стоит забустить аккаунт в доте

Но различия их состоят в том, что SET копирует и помещает на определённом сервере страницу авторизации. Тут всё основано на работе скриптов, что перехватывают вводимые данные жертвы. Несомненно можно настроить перенаправление URL на оригинальный сайт, но так как трафик от твоего компьютера до человека, которого ты хочешь переиграть и уничтожить будет не конфеденциальным, то можешь легко прогореть. Ну, либо основывай свой личный фишинговый сайт.

Обход двухфакторной аутентификации Google

Злоумышленник может обойти двухфакторную аутентификацию (2ФА) на сервисах Google, сбросить пользовательский пароль и получить полный контроль над аккаунтом, просто заполучив т.н. пароль приложения — ПП (ASP — Application-Specific Passwords).


(При всём уважении к рекламной компании Google «Good to Know»)

Злоупотребление паролями приложений Google

2ФА Google предоставляет материал для исследования различных проблем, непременно возникающих в настолько масштабных системах надежной аутентификации.
Чтобы сделать подобную аутентификацию возможной для всех пользователей (и безболезненно интегрировать её в уже существующую экосистему), инженерам Google пришлось пойти на некоторые компромиссы. Такие, например, как пароли приложений.
Несколько месяцев назад мы нашли способ использовать ПП для получения полного контроля над google аккаунтом, полностью обойдя 2ФА. Мы рассказали о нашей находке службе безопасности Google и недавно получили от них ответ, что они предприняли некоторые шаги для нейтрализации наиболее серьезных угроз из тех, что мы обнаружили. И так, вот что мы нашли:

Статья в тему:  Можно ли приостановить премиум аккаунт в wot

Пароли приложений

Как только вы включите 2ФА, Google попросит вас создать отдельный пароль для каждого приложения, что вы используете (отсюда и название «пароль приложения»), который не поддерживает 2ФА. Этот пароль Вы используете вместо своего основного. Выражаясь конкретнее, вы создаёте ПП для большинства приложений, которые не используют логин из web-формы: e-mail клиенты, использующие IMAP и SMTP (Apple Mail, Thunderbird, и т.п.); XMPP чат-клиенты (Adium, Pidgin и т.п.), а так же различные календари, синхронизирующиеся с помощью CalDAV (iCal, etc.).
Даже некоторые софт от Google вынуждает вас использовать ПП — например, чтобы включить синхронизацию в Chrome или настроить свой аккаунт на Android устройстве. Совсем недавно эти клиенты в большинстве своём перешли на авторизацию через OAuth. В такой модели, когда вы впервые логинитесь на своём новом устройстве или в приложении, вы получаете запрос на авторизацию в web-форме, которая использует 2ФА. После успешной авторизации, сервер возвращает токен с ограниченным доступом, который в дальнейшем используется для аутентификации вашего устройства/приложения.
На самом деле, OAuth токены и ПП очень сильно похожи — в конечном итоге всё заканчивается созданием уникального авторизационного токена для каждого устройства/приложения, которое вы привязываете к вашему google аккаунту. Кроме того, каждый отдельный токен может быть отозван, без ущерба для остальных: если вы потеряли ваш смартфон, вы можете быть уверены, что никто не сможет получить доступ к вашему почтовому ящику, не имея пароля.
И так, основные отличия между OAuth токенами и ПП следующие:

  • OAuth токены создаются автоматически, в то время как ПП нужно создавать вручную. Вам нужно пойти в настройки google аккаунта чтобы его создать, а затем скопировать в приложение.
  • OAuth токены предоставляют более гибкую модель авторизации и могут быть использованы для ограничения доступа только к определенным данным или сервисам в вашем аккаунте. С другой стороны, пароли приложений, если уж быть совсем точным, не совсем ТОЛЬКО для приложений!
Статья в тему:  Як відновити аккаунт в gmail

Остановимся на втором пункте подробнее. Если вы создаете ПП для XMPP чат-клиента, этот же самый пароль может быть использован для чтения почты через IMAP или получения списка событий из CalDAV календаря. Что, собственно, не является таким уж сюрпризом. На самом деле, Eric Gorss и Mayank Upadhyay из Google уже указывали на эту слабость в их статье о 2ФА Google:

«Другая слабость ПП в обманчивом впечатлении, что они предоставляют доступ к конкретному приложению, а не полномасштабный доступ к аккаунту»

Authentication at Scale из «IEEE S&P Magazine» vol. 11, no. 1

Получается, ПП могут гораздо, гораздо больше, чем простое получение доступа к вашей почте. На самом деле, они могут быть использованы для аутентификации на большинстве сервисах Google в обход 2ФА!

Авто-логин в Chrome

В последних версиях Android и ChromeOs Google включил в свои браузеры механизм авто-логина в google аккаунты. После того, как вы свяжите ваше устройство с аккаунтом, браузер будет использовать уже существующую авторизацию и перестанет запрашивать её через web-форму. (Есть даже экспериментальная поддержка этой функциональности в десктопной версии Chrome, вы может включить её, открыв «chrome://flags/.»).

До недавнего времени, этот механизм работал даже для самой важной части google аккаунта — странице настроек. Она включает в себя страницу восстановления пароля, на которой возможно добавление и редактирование e-mail адреса и телефонных номеров, на которые вам будет отослана информация, необходимая для сброса пароля. Короче говоря, если вы сможете получить доступ к этой странице — вы сможете отобрать аккаунт у его законного владельца.

Статья в тему:  Что делать если я кот и сижу через аккаунт хозяина

Технические детали

В своём отличном блоге Android Explorations Николай Еленков опубликовал обширное исследование механизма авто-логина в Android. Оно стало отличной отправной точкой, но всё не содержала всю необходимую нам информацию. Мы захотели узнать, как можно использовать этот механизм, не имея Android устройства или Хромбука.
Чтобы сделать это, мы установили перехватывающий прокси, чтобы следить за траффиком между эмулятором Android и серверами Google. Во время добавления google аккаунта, мы увидели следующий запрос:

POST /auth HTTP/1.1
Host: android.clients.google.com

accountType=HOSTED_OR_GOOGLE&Email=user%40domain.com&has_permission=1&add_account=1&EncryptedPasswd=AFcb4.
&service=ac2dm&source=android&androidId=3281f33679ccc6c6&device_country=us&operatorCountry=us&lang=en&sdk_version=17

Ответ, помимо всего прочего, содержал следующее:

Несмотря на то, что урл и некоторые параметры не документированы, это очень напоминает Google ClientLogin API. Чтобы воссоздать такой запрос самим, нам нужно было понять, что за значения нужно передавать в параметрах «EncryptedPasswd» и «androidId». Со вторым всё оказалось просто — это тот самый параметр «ANDROID_ID», упоминаемый в Android API Docs — случайно сгенерированный 64-битное значение, которое предназначено для однозначной идентификации устройства Android.
Другой пост Еленкова вселил нас надежду, что «EncryptedPasswd» может быть нашем ПП, зашифрованным публичным 1024-битным RSA ключём, который включён в Android платформу. «EncryptedPasswd» являлся бинарными данными(закодированными base64) длинной 130 байт, так что вполне возможно, что так оно и есть. Однако, прежде чем двигаться дальше, мы решили попробовать заменить этот параметр параметром «Passwd» (не зашифрованный пароль) из документации и установить ему значение — наш ПП:

Статья в тему:  Куда ставиться ударение в слове аккаунт

POST /auth HTTP/1.1
Host: android.clients.google.com

accountType=HOSTED_OR_GOOGLE&Email=user%40domain.com&has_permission=1&add_account=1&Passwd=xxxxxxxxxxxxxxxx
&service=ac2dm&source=android&androidId=3281f33679ccc6c6&device_country=us&operatorCountry=us&lang=en&sdk_version=17

И это сработало! Мы получили ответ, в котором содержалось что-то очень похожее на валидный токен. Этот токен, созданный сервером android.clients.google.com, стал видим в разделе «Connected Sites, Apps, and Services» нашего аккаунта и, похоже, предоставляет нам полный доступ к аккаунту:


Продолжая наблюдать за трафиком, мы заметили 2 различных процесса, относящихся к авто-логину в браузере. Тот, что попроще, был очередным клиентским запросом на логин, но использовал наш токен:

POST /auth HTTP/1.1
Host: android.clients.google.com

accountType=HOSTED_OR_GOOGLE&Email=user%40domain.com&has_permission=1&Token=1%2Ff1Hu. &
service=weblogin%3Acontinue%3Dhttps%253A%252F%252Faccounts.google.com%252FManageAccount
&source=android&androidId=3281f33679ccc6c6&app=com.android.browser&client_sig=61ed377e85d386a8dfee6b864bd85b0bfaa5af81&
device_country=us&operatorCountry=us&lang=en&sdk_version=17

Этот запрос возвращал тело ответа, а так же следующую строчку:

Auth=https://accounts.google.com/MergeSession?args=continue%3Dhttps%253A%252F%252Faccounts.google.com%252FManageAccount&uberauth=AP. &source=AndroidWebLogin
Expiry=0

Из этого запроса мы установили, что форматом для параметра «service» является weblogin:continue=url_encode(destination_url). Мы решили попытаться указать этот параметр для нашего изначального запроса с ПП вместо токена (вместо того, чтобы пытаться понять происхождение непонятного параметра «client_sig»):

POST /auth HTTP/1.1
Host: android.clients.google.com

device_country=us&accountType=HOSTED_OR_GOOGLE&androidId=3281f33679ccc6c6Email=user%40domain.com&lang=en&
service=weblogin%3Acontinue%3Dhttps%253A%2F%2Faccounts.google.com%2FManageAccount&
source=android&Passwd=xxxxxxxxxxxxxxxx&operatorCountry=us&sdk_version=17&has_permission=1

И получили ответ, полностью повторяющий предыдущий:

Auth=https://accounts.google.com/MergeSession?args=continue%3Dhttps%253A%252F%252Faccounts.google.com%252FManageAccount&uberauth=AP. &source=AndroidWebLogin
Expiry0

Ключевым параметром здесь является «MergeSession». Если вы откроете этот урл в неавторизованном браузере после того, как выполните запрос (это нужно сделать очень быстро), вы будете немедленно залогинены в аккаунт!

Таким образом, имея только имя пользователя, ПП и выполнив запрос к android.clients.google.com/auth, возможно залогиниться на страницу настроек аккаунта, в обход двухступенчатой верификации!

Статья в тему:  Куда ставиться ударение в слове аккаунт

Фикс Google

Как было замечено ранее, этот способ работает даже для самой критичного раздела google аккаунта — настроек. Атакующий может предпринять рад действий, используя ПП жертвы:

  • Он может передать «accounts.google.com/b/0/UpdateAccountRecoveryOptions?hl=en&service=oz» в качестве урла в API запросе. MergeSession URL, полученный в ответе, приведёт его прямо на страницу восстановления пароля, где он сможет сбросить основной пароль.
  • Аналогично, атакающий может передать в запрос урл «accounts.google.com/b/0/SmsAuthConfig?hl=en», что приведет его на страницу с настройками 2ФА, где он сможет добавлять и удалять ПП или же отключить 2ФА совсем.

Это больше невозможно, начиная с 21 февраля, когда инженеры Google закрыли эту дыру. Насколько мы можем судить, Google теперь поддерживает некое дополнительное состояние, которое позволяет определить, как именно вы аутентифицировались — с помощью MergeSession URL и с помощью обычного логина и пароля, используя 2ФА. Страница настроек станет доступна только в последнем случае. Если же вы залогинились с помощь MergeSession URL, вас перенаправлят на страницу 2ФА, которую нельзя пропустить.

Насколько всё было плохо?

Мы считаем, что это большая дыра в системе аутентификации, если пользователь имеет некую форму для ввода пароля, которая позволит получить доступ к полному контролю над аккаунтом. Но несмотря на это, мы всё же согласны, что даже до того, как Google выкатил свой фикс, включить 2ФА на своём аккаунте гораздо лучше, чем не делать этого.

Статья в тему:  Сколько стоит забустить аккаунт в доте

В наши дни, злоумышленник всё ещё имеет в своём арсенале набор методов для получения контроля над аккаунтом. Например:

  • Создание фишингового сайта, с целью заставить пользователя отдать свой пароль.
  • Использование того факта, что пользователи часто используют один и тот же пароль на различных сайтах. Взломав базу с паролями одного слабозащищенного сайта, злоумышленник может попытаться получить доступ к аккаунтам на других сайтах.

Оба этих примера представляют собой типы атак, которые могут быть предотвращены с помощью следования простым правилам и «цифровой гигиены». Например, не использовать один и тот же пароль на различных сайтах и не нажимать на подозрительные ссылки в e-mail сообщениях. К сожалению, такого рода «образовательные программы для пользователей» редко работают хорошо на практике(и могут быть нецелесообразны с экономической точки зрения).

Несмотря на это, даже с ПП, 2ФА Google может сгладить оба этих типа атак, даже если пользователи продолжают делать глупые вещи. ПП генерируются Google и не предполагают запоминание пользователем, т.о. маловероятно, что он использует точно такой же пароль на другом сайте. Если даже злоумышленник создаст фишинговый сайт и выманит ПП, его шансы на успех будут значительно (возможно, на порядки) ниже, чем с обычным паролем.

Тем не менее, повсеместное использование ПП всё же несёт в себе потенциальную опасность. Если злоумышленник сможет заставить установить вредоносное ПО, оно сможет найти и извлечь ПП где-нибудь в пользовательской системе (например, популярный чат-клиент Pidgin хранит пароли в открытом виде в XML файле). Кроме того, «толстоклиентские» приложения, основной пользователь ПП, частенько подвержены довольно известной проблеме слабой проверки SSL сертификата, что потенциально позволяет украсть ПП с помощью MiM-атаки.

Статья в тему:  Как сбросить аккаунт на хонор 7а

Фикс Google значительно помогает в данной ситуации. Несмотря на то, что ПП всё ещё могут нанести значительный вред пользователю, он сможет сохранить контроль над своим аккаунтом и возможность отозвать ПП, если вдруг что-то пойдет не так. Тем не менее, мы твердо верим в принцип минимальных привилегий и хотели бы видеть дальнейшие шаги Google, направленные на ограничение привилегий отдельных ПП.

Апдейт #1
Google обновил своё предупреждение при создании ПП, в котором предупреждается о потенциальном риске:

Апдейт #2
Craig Young из nCircle выступил с докладом об аналогичной проблеме на конференции BSides, проводимой совместно с RSA!

Как хакеры обходят 2FA — двухфакторною аутентификацию?

В настоящее время, двухфакторная аутентификация становится все более востребованной. Всем пользователям настоятельно рекомендуется использовать 2FA, которая часто представляется в качестве оптимального решения для защиты от опасностей, кражи личных данных и их утечки.

Конечно, 2FA намного лучше примитивного логина, но это еще не все. Всем известно, что пароли в корне небезопасны и до тех пор, пока они остаются в тренде, защита учетных записей остается под угрозой. Но 2FA не панацея, она пока что не справляется с нагрузкой всех прорывов — паролей и людей, которые их создают. Этим успешно пользуются злоумышленники и обходят 2FA, чем доказывают, что путь к хорошей безопасности и истинному спокойствию лежит не здесь.

  1. Как хакеры обходят 2FA?
  2. 1. Браузер Necro
  3. 2. Атака «человек в браузере»
  4. 3. Социальная инженерия и фишинг
  5. 2FA без пароля
Статья в тему:  Можно ли приостановить премиум аккаунт в wot

Как хакеры обходят 2FA?

Хакеры могут использовать несколько потоков эксплойтов для целевых учетных записей 2FA на основе паролей. Рассмотрим несколько распространенных техник обхода 2FA в действии:

1. Браузер Necro

Все гениальные решения просты — и это одно из них. Два инструмента — Muraena и NecroBrowser автоматизируют фишинговые атаки, которые могут обойти 2FA. Большинство средств защиты не остановят их по простой причине — эти атаки идут непосредственно к первопричине всех нарушений — пользователям.

Принцип работы такой же, как и у любой фишинговой схемы, за исключением одного момента. Вместо того, чтобы просто создать поддельный сайт, который выглядит как реальный для того, чтобы обманом заставить пользователей ввести свои пароли, новый способ действует еще и как прокси между жертвой и реальным сайтом. Как только пользователь войдет в систему — запрос посылается от его имени в службу. Пользователь, ошибочно считая, что находится на легальной странице входа в систему, передает и пароль, и PIN-код 2FA непосредственно в руки злоумышленника.

Злоумышленник входит в систему, используя оба фактора на реальной странице входа и вуаля — он имеет полный доступ к системе, полностью автоматически и в режиме реального времени.

2. Атака «человек в браузере»

Во-первых, хакер заранее готовится для такой атаки, предварительно заразив устройство пользователя трояном. Обычно это делается с помощью фишинга или социальной инженерии. Как только троян активизируется, злоумышленник получает возможность контролировать все действия пользователя в интернете. Хакер получает беспрепятственный доступ к истории браузера и его активности, и даже видит, что вводит пользователь, включая пароли. Многие люди слишком доверяют своему браузеру и хранят в нем много личной информации. Не стоит этого делать.

На видео: Обход двухфакторной аутентификации. Новый фишинг

3. Социальная инженерия и фишинг

Умение манипулировать пользователями — это оружие хакеров, выбранное ими по веской причине: оно отлично работает. Социальная инженерия использует человеческую психологию против пользователей, и никакая технология не может эффективно блокировать атаки СИ. Существует множество способов использования социальной инженерии для обхода 2FA, от рассылки SMS до писем на электронную почту. Чаще всего пользователи добровольно передают свои пароли и коды.
После того, как злоумышленники получат доступ к учетной записи, они начинают искать уязвимости, чтобы получить повышенный доступ к защищенным ресурсам пользователя. После чего, они могут манипулировать настройками 2FA. Например, изменить номер телефона, привязанный с учетной записи, чтобы данные теперь отправлялись на устройство злоумышленника.

Статья в тему:  Чтобы проверить что этот аккаунт принадлежит

Хакеры могут нацелиться на аутентификацию 2FA огромным количеством способов:

  • Перехватить 2FA ПИН-код «в пути».
  • Перенаправить 2FA на свое устройство.
  • Получите PIN-код 2FA непосредственно от пользователя, с помощью спуфинга и социальной инженерии.
  • Украсть маркеры сессии после 2FA и войти в аккаунт, не проходя через 2FA вообще.

2FA без пароля

Выход из этой неразберихи прост — отказаться от паролей, также как и от менеджеров паролей и сложных паролей — они практически никогда не работали в прошлом, и точно не будут работать в будущем.
Беспарольная аутентификация — это 100% защита. Это означает, что у нас наконец-то появился метод аутентификации, который не полагается на самое слабое звено в безопасности. Пришло время оставить позади всю парадигму безопасности, которая основывалась только на паролях — технология наконец-то наверстала упущенное.

Беспарольная аутентификация работает так:

  • Вместо логина и пароля, пользователи вводят только адрес своей почты. Ваше приложение отправляет на указанный адрес одноразовую ссылку. Когда пользователь кликает по ней, то автоматически входит на сайт или приложение.
  • Есть еще один метод, при котором вместо одноразовой ссылки по SMS отправляется одноразовый код, который также можно получить по почте.
  • И последний, менее популярный и доступный метод беспарольной аутентификации — использовать Touch ID.

Как снять двухфакторную аутентификацию, если нет доступа к телефону

Двухфакторная авторизация — это самый простой и эффективный способ защитить свои аккаунты в различных сервисах от взлома. Заключается он в том, что для успешного входа нужно не только верно ввести логин и пароль, но и взаимодействовать со смартфоном владельца аккаунта — ввести дополнительный код, нажать какую-либо кнопку, сканировать QR-кода и другое. Этот метод защиты используется в каждом современном сервисе и социальной сети и рекомендуется каждому пользователю его включить. Но есть у него один недостаток — даже владелец аккаунта будет испытывать трудности при входе в свой собственный профиль, если вдруг у него под рукой не окажется его телефона. Это может случить по разным причинам — потерял, сломал, уехал за границу, где нет связи и другое.

Статья в тему:  Как создать амазон аккаунт без карты

Каким же образом снять двухфакторную аутентификацию, если у вас по какой-то причине нет доступа к мобильному телефону? В большинстве случаев это невозможно, но можно заранее подготовиться к вероятному отсутствию смартфона под рукой. Рассмотрим в этой статье способы для разных популярных сервисов.

  1. Каким образом обойти двухфакторную авторизацию в Instagram
  2. Чтобы получить секретные коды, следует сделать следующее:
  3. Способ снять защиту в ВК, если нет доступа к мобильному телефону
  4. Обход двухфакторной аутентификации в Apple
  5. Сброс защиты при входе в аккаунт 1xbet, если нет доступа к смартфону
  6. Деактивация двойной авторизацию в Faceit
  7. Импорт из Google Authenticator без доступа к мобильному устройству
  8. Видео-инструкция

Каким образом обойти двухфакторную авторизацию в Instagram

Для того, чтобы войти в аккаунт Instsgram, необходимо иметь в своём распоряжении секретные коды . Эти секретные коды можно получить уже в авторизованном профиле. Поэтому, если есть вероятность, что вы окажетесь без доступа к смартфону для прохождения двухэтапной авторизации, следует заранее куда-либо в надёжное место сохранить эти коды.

Чтобы получить секретные коды, следует сделать следующее:

  1. Войдите в свой профиль Инстаграм, и нажмите вверху справа на три линии, чтобы попасть в меню.
  2. Нажмите внизу « Настройки «.
  3. Зайдите в раздел « Безопасность «.
  4. И откройте здесь раздел « Двухфакторная аутентификация «.
  5. Нажмите « Коды восстановления «.
  6. И вы увидите шесть кодов. Каждый код позволяет один раз авторизоваться в профиле Instagram без получения СМС на телефон при включённой двухэтапной аутентификации.
  7. Эти коды следует сохранить в надёжном месте и использовать их в случае потери доступа к смартфону.
Статья в тему:  Как удалить аккаунт в avon

Бывают такие ситуации, что доступ к смартфону есть, но СМС получить на него нет возможности, например, если вы находитесь за границей, а роуминг не подключили или потеряли SIM-карту. В этом случае вы можете облегчить себе жизнь и включить дополнительную защиту с помощью приложения.

В этом случаем вам не нужно будет получать СМС. Достаточно будет иметь смартфон с доступом в интернет и с помощью приложения пройти двухфакторную аутентификацию в Instagram.

Если же вы не можете получить СМС, не можете воспользоваться приложением и не сохранили секретные коды, то доступ к профилю будет не возможен, к сожалению.

Способ снять защиту в ВК, если нет доступа к мобильному телефону

Аналогичная система действует и в социальной сети ВКонтакте. Есть возможность войти с помощью СМС на телефон, специального приложения и секретных кодов. Таким образом при включении двойной авторизации рекомендуется также использовать и ещё один дополнительный способ для снятия двойной защиты, который можно будет использовать на случай потери смартфона. И это нужно сделать заранее.

Давайте рассмотрим это, если у вас нет доступа к вашему телефону:

  1. Войдите в свой аккаунт ВК, нажмите вверху справа на ваше фото, а затем на « Настройки «.
  2. Зайдите в раздел « Безопасность «.
  3. Здесь вы увидите способы входа с помощью двухфакторной аутентификации. В первой строке будет указан привязанный номер телефона.
  4. Во второй строке « Резервные коды » можно нажать на ссылку « Показать список » и увидеть коды. Вы увидите 10 кодов, каждый из которых действует только один раз (перед этим потребуется ввести пароль). С их помощью можно войти в свой профиль с двойной защитной аутентификацией, не имя смартфона под рукой.
  5. Третья строка — « Приложение для генерации кодов «. Здесь можно подключить любое приложение для защиты. С его помощью можно отсканировать QR код и войти. Это удобно в тех случаях, когда доступ к смартфону есть, но нет возможности получить на него СМС-сообщение, например, в случае нахождения вне зоны доступа сети.
Статья в тему:  Что делать если я кот и сижу через аккаунт хозяина

Если вы не можете получить СМС на смартфон и войти с помощью приложения, то остаётся только написать сообщение с описанием этой проблемы в поддержку ВК по этой ссылке . Вероятность успеха в этом случае не большая и она повышается, если в профиле у вас указаны актуальные данные — имя и фамилия, дата рождения, фото и другие. Поэтому о возможности входа в случае внезапной потери доступа к смартфону лучше позаботиться заранее.

Обход двухфакторной аутентификации в Apple

В Apple ID двухфакторная авторизация включается по умолчанию сразу же после регистрации, и отключить её нельзя совсем. Более того, аутентификация в этом случае возможна исключительно по СМС на привязанный номер телефона и никаких секретных кодов и приложений здесь нет.

Если вы собираетесь переехать за границу, где ваш номер телефона будет недоступен, и вы уже знаете ваш номер телефона на новом месте, то вы можете привязать его к вашей учётной записи Apple ID заранее. Это можно сделать по данной ссылке . В разделе « Безопасность » нажмите кнопку « Изменить «.

Нажмите « Добавить номер телефона «.

И укажите новый номер. Его необходимо будет подтвердить с помощью СМС или звонка.

Если, всё-таки, вы не можете войти в ваш аккаунт Apple ID из-за того, что нет возможности пройти двухфакторную авторизацию, то вам следует обратиться за помощью в поддержку Apple.

Статья в тему:  Как создать амазон аккаунт без карты

Сброс защиты при входе в аккаунт 1xbet, если нет доступа к смартфону

В 1xbet двойная аутентификация возможна только по приложению Google Authenticator . Не предусмотрен вход с помощью СМС или секретных одноразовых входов.

Даже если вы окажетесь заграницей вне зоны вашей сети, вы сможете войти в свой аккаунт при условии, что смартфон есть у вас и он подключен к интернету. Если же смартфон будет внезапно утерян вместе с приложением входа, то обойти защиту не получится, к сожалению. Здесь следует обратиться за помощью в поддержку сервиса.

Деактивация двойной авторизацию в Faceit

В Faceit есть возможность войти с помощью приложения Google Authenticator либо по секретным кодам. Очевидно, если доступа к смартфону нет совсем, то использовать Google Authenticator не получится вообще. Он пригоден в случае наличия смартфона и доступа к интернету.

Поэтому, чтобы гарантированно не потерять доступ к своему аккаунту Faceit без доступа к телефону, нужно заранее сохранить себе секретные коды.

Чтобы их увидеть, нужно войти в свой профиль и сделать следующее:

  1. Вверху справа нажмите на три точки, а затем « Ваш аккаунт «.
  2. В настройках аккаунта перейдите в раздел « Безопасность учётной записи » и напротив включенной защиты нажмите « Изменить «.
  3. Нажмите « Просмотреть коды «.
  4. И вы увидите коды. Предварительно потребуется ввести пароль от аккаунта либо код из Google Authenticator. Сохраните себе эти коды на случай потери доступа к телефону.
Статья в тему:  Куда ставиться ударение в слове аккаунт

Если вы не позаботились заранее о сохранении кодов и доступа к привязанному телефону у вас нет, то, чтобы восстановить доступ, вам потребуется обратиться в поддержку Faceit по этой ссылке https://support.faceit.com/hc/en-us.

Импорт из Google Authenticator без доступа к мобильному устройству

Большинство сервисов, что были рассмотрены выше, и многие другие позволяют пройти двухэтапную аутентификацию с помощью приложения Google Authenticator. Это приложение позволяет импортировать данные. Поэтому, если вы меняете смартфон запланировано, вы можете переместить данные из Google Authenticator старого устройства на новое.

Для этого следует сделать следующее:

  1. Откройте Google Authenticator на старом телефоне и нажмите на три точки вверху справа, затем нажмите « Перенести аккаунты «.
  2. Нажмите « Экспорт аккаунтов «.
  3. Выберите нужные аккаунты и потом увидите QR-код, который нужно будет отсканировать приложением Google Authenticator на новом смартфоне. И после этого новый смартфон будет пригоден для прохождения защиты во всех ваших профилях.

Как хакеры взламывают двухфакторную аутентификацию в Google-аккаунтах

Доступ к учетной записи по одноразовому, короткоживущему паролю в SMS-сообщении до недавнего времени считался простой и надежной преградой для киберзлодеев. Однако хакеры научились обходить и двухфакторную аутентификацию интернет-аккаунтов.

Как это работает

Хакеры любыми удобными путями получают логин и пароль от аккаунта некоего пользователя в сервисе Google. В основном это производится при помощи «фишинга». Пользователю приходит поддельное письмо якобы от администрации Google, в тексте которого говорится о необходимости срочно перейти на сайт для осуществления каких-либо действий, связанных с обеспечением безопасности аккаунта. Ничего не подозревающий пользователь переходит по ссылке в письме и попадает на мошеннический сайт, который выглядит точь-в-точь, как официальный; вводит свои логин и пароль, которые мгновенно получают хакеры.

Статья в тему:  Как создать облачный аккаунт

Узнать номер телефона, к которому привязан аккаунт, тоже труда не составляет. Но с дальнейшим взломом никто не торопится, вместо этого сначала формируется SMS-послание в стиле официальных сообщений сервиса с фальшивым уведомлением. Дескать, была предпринята попытка несанкционированного входа в вашу учетную запись, но мы поймали хулиганов за руку.

Чтобы избежать блокировки аккаунта и доказать, что вы – его истинный владелец, пришлите нам проверочный код из следующего SMS.

Сообщение содержит достоверные данные – IP-адрес и логин, его стиль копирует реальные послания техподдержки Google, так что жертва обеспокоена, но подвоха не ощущает, мысли скользят в ином направлении.

Далее все разыгрывается по минутам, так как срок жизни кода невелик:

  • хакеры инициируют вход в аккаунт и получают требование ввода кода
  • SMS с ним приходит на номер телефона жертвы в штатном порядке
  • код доверчиво пересылается хакерам
  • происходит верификация и вуаля

Фактически, вместо факта взлома системы безопасности имеет место обман, выманивание у доверчивого пользователя конфиденциального ключа. Претензии к Google? За что – двухфакторная аутентификация сработала так, как и описано в стандарте и пользовательском соглашении. Другое дело, что когда ее создавали, не подумали о «защите от дурака», как бы обидно это не звучало для миллионов людей.

Что можно сделать?

Ключевой информацией для взлома является связка логин-пароль – если хакерам есть, за что зацепиться, появляется смысл начать атаку. Эти данные они могут выудить тысячей и одним способов, но зачастую страдают самые беспечные пользователи. Например, Марк Цукерберг, оконфузившийся своим супер-паролем «dadada» в нескольких аккаунтах. Гигантские базы данных регулярно воруются и утекают в Сеть – возьмите за привычку использовать разные, красивые и сложные пароли, а также менять их хотя бы раз в квартал, а не когда станет поздно и обидно.

Статья в тему:  Как сбросить аккаунт на хонор 7а

Специалисты по безопасности рекомендует вчитываться в тексты сообщений от роботов сервисов, пусть вы и получаете их десятками на дню. А вдруг вовремя обратите внимание, что адресатом указан Facebook, а вы пользуетесь аккаунтом на Яндексе или в Gmail? Злоумышленники постоянно меняют личины, но из-за мелких нестыковок в схеме работы их можно вывести на чистую воду. Если просят перейти по ссылке – вглядитесь в символы, это может быть фишинговая страничка. А если есть сомнения хоть в чем-то, лучше лишний раз оповестить службу безопасности. Это проще, чем отвоевывать свой аккаунт назад.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Статьи c упоминанием слов: