Двухфакторная аутентификация - отличный вспомогательный элемент для безопасности наших аккаунтов в социальных сетях, интернет-банке и других интернет-ресурсах, однако исследователям в области безопасности, с помощью фишинга, удалось обойти двухфакторную аутентификацию (2FA).
Для защиты и сохранения своей безопасности, как пользователи, так и компании (частные или государственные), применяют технологию двухфакторной аутентификации. Есть довольно распространенное мнения, что этот метод защиты (который зачастую используется, как дополнительный) является надежным и эффективным, однако Кевин Митник (Kevin Mitnick), из компании «KnowBe4» наглядно продемонстрировал, как можно с легкостью обойти данный метод защиты.
Компания «KnowBe4» является одной из самых крупных и ведущих на мировом рынке, которая предоставляет услуги в области ИТ-безопасности - занимается осведомлением и моделированием фишинговых атак на фирмы. Кевин Митник, в компании, выполняет роль главного «хакера». Он продемонстрировал новый эксплойт и доказал, что технология двухфакторной аутентификации не является такой надежной, как думает большинство из нас - она может быть подвергнута эксплуатации, поскольку хакеры отправляя пользователя на фишинговый сайт, впоследствии могут подделывать запросы 2FA. В конечном итоге, это может привести к краже конфиденциальных данных (логин и пароль), а также сеансовые файлы cookies.
Друг Кевина Митника, Куба Гретзи (Kuba Gretzky), разработал инструмент под названием «evilginx» позволяющий осуществлять обход двухфакторной аутентификации с помощью методов социальной инженерии, а именно - фишинга.
Данный инструмент может найти свое применение практически для любого сайта в интернете. Идея метода заключается в следующем: злоумышленник посылает жертве письмо содержащее в себе фишинговые ссылки, при переходе на которые пользователь попадает на сайт созданный по типу тайпсквоттинга (когда поддельный сайт имеет название близкое к подлинному, например: llnkedin.com вместо linkedin.com). Ничего не подозревающий пользователь вводить свои данные учетной записи: логин, пароль, а также одноразовый код, который поступает на телефон при попытки войти на сайт.
После этой процедуры, пользователь будет направлен на подлинный сайт, а хакер получит файлы сессии cookie, что позволит ему осуществлять доступ к аккаунту в любое время.
Как на практике реализован эксплойт для обхода двухфакторной аутентификации, можете посмотреть в этом видео:
"Двухфакторная аутентификация предназначена для дополнительного уровня безопасности, но в этом случае мы ясно видим, что Вы не можете полагаться только на нее, чтобы защитить свою организацию”, - добавил Генеральный директор компании «KnowBe4» Стью Шуверман (Stu Sjouwerman).
Несмотря на дополнительный инструмент, двухфакторная аутентификация является весьма надежной. Самым слабым звеном во всей цепочке безопасности, как был человек, так и остается. Поэтому требуется быть крайне бдительным, прежде, чем совершать переход по ссылкам, и тем более, при вводе конфиденциальной информации.
