Παράκαμψη του 2FA από Ιρανούς hacker με εξεζητημένη καμπάνια phishing

[nnn]

Υψηλά ιστάμενοι αξιωματούχοι των ΗΠΑ, ακτιβιστές δημοσιογράφοι και άλλα πρόσωπα σε ευαίσθητες θέσεις,έπεσαν θύματα επίθεσης από την Ιρανική κυβέρνηση.

According to the Associated Press, targets included high-profile defenders, detractors, and enforcers of the nuclear deal struck between Washington and Tehran, Arab atomic scientists, Iranian civil society figures, Washington think-tank employees, and more than a dozen US Treasury officials.

Οι ομάδα πίσω από τις επιθέσεις, μέσω μιας πολύ οργανωμένης συλλογής προσωπικών πληροφοριών για τους στόχους τους, κατάφερε μέσω εξαιρετικά προσωποποιημένων phishing emais, να "ξεπεράσει" την προστασία 2FA μέσω SMS -two-factor authentication- που προσφέρουν υπηρεσίες όπως η Google και η Yahoo. Τα emails μέσω μιας κρυφής εικόνας, ενημέρων τους υποκλοπείς όταν αυτά διαβάζονταν και όταν τα θύματα έβαζαν τα credentials τους σε πλαστές σελίδες ασφαλείας, σε πραγματικό χρόνο αυτοί τα περνούσαν στις γνήσιες υπηρεσίες.

Στις περιπτώσεις που υπήρχε 2FA, ανακατεύθυναν τα θύματα τους σε άλλη εικονική σελίδα, που ζητούσε one time pass, για να τους υποκλέψουν το authenticating PIN ή κωδικό που λάμβαναν.

“In other words, they check victims’ usernames and passwords in realtime on their own servers, and even if 2 factor authentication such as text message, authenticator app or one-tap login are enabled they can trick targets and steal that information too,” Certfa Lab researchers wrote.

In an email, a Certfa representative said company researchers confirmed that the technique successfully breached accounts protected by SMS-based 2fa. The researchers were unable to confirm the technique succeeded against accounts protected by 2fa that transmitted one-time passwords in apps such as Google Authenticator or a compatible app from Duo Security.

“We’ve seen [it] tried to bypass 2fa for Google Authenticator, but we are not sure they’ve managed to do such a thing or not,” the Certfa representative wrote. “For sure, we know hackers have bypassed 2fa via SMS.”

The phishing campaign reported by Certfa was effective for other reasons besides its bypass of 2fa. For instance, it hosted malicious pages on sites.google.com and sent emails from addresses such as notifications.mailservices@gmail.com and noreply.customermails@gmail.com to give the impression the content was officially connected to Google. The phishers also dedicated more than 20 separate Internet domains to better tailor their targets’ use of email services on computers and phones.

Certfa said some of the domains and IP addresses used in the campaign connect the phishers to “Charming Kitten,” a hacker group previously linked to the Iranian government. The latest campaign started weeks before the US reimposed sanctions on Iran’s government in early November.

Πηγή : Arstechnica

[tsigarid]

Ορίστε λοιπόν, έπεσε και το two-factor authentication. Τώρα τι;

[siakattack]

36 factor authentication :P

[DiM]

Καλά μέχρι να ενεργοποιήσει την καμπίνα του nnn η wind δε πρόκειται να δούμε κανένα καλο news στο adslgr !!!

[Zus]

Ορίστε λοιπόν, έπεσε και το two-factor authentication. Τώρα τι;

Δεν έπεσε το 2way authentication. Το τέλειο phishing για να ξεγελάσει τον χρήστη δεν σημαίνει ότι έπεσε αυτή η μέθοδος προστασίας.

[Erebos]

Ορίστε λοιπόν, έπεσε και το two-factor authentication. Τώρα τι;

Δεν έπεσε τίποτα. Phising έκαναν και τα θύματα δεν πρόσεχαν ότι οι σελίδες στις οποίες έβαζαν τα OTP τους ήταν ψεύτικες.

Edit: [ ninja'd by Zus ]

[ipo]

Δεν έπεσε το 2way authentication. Το τέλειο phishing για να ξεγελάσει τον χρήστη δεν σημαίνει ότι έπεσε αυτή η μέθοδος προστασίας.

Ούτε η single factor authendication χρειάστηκε να "πέσει" για να δημιουργηθεί η two factor. Απλά κατάλαβαν ότι η πρώτη ξεπερνιέται εύκολα από τους hackers, οπότε δημιούργησαν κάτι πιο σύνθετο, ώστε να μην αρκεί μόνο η διαρροή ενός κωδικού.

Η Apple θεωρώ ότι έχει προχωρήσει το θέμα της ασφάλειας και ζητάει κωδικούς, PIN, εγκρίσεις από τρίτες συσκευές του χρήστη. Αυξάνεται η ασφάλεια, αλλά μειώνεται η ευχρηστία, ειδικά από άτομα που δεν έχουν ιδιαίτερες γνώσεις τεχνολογίας. Συχνά, ό,τι κερδίζεις σε ασφάλεια, το χάνεις σε ευκολία χρήσης και είναι δύσκολο να πετύχεις τη βέλτιστη λύση για μεγάλη μερίδα χρηστών.

[MitsakosGR]

Ούτε η single factor authendication χρειάστηκε να "πέσει" για να δημιουργηθεί η two factor. Απλά κατάλαβαν ότι η πρώτη ξεπερνιέται εύκολα από τους hackers, οπότε δημιούργησαν κάτι πιο σύνθετο, ώστε να μην αρκεί μόνο η διαρροή ενός κωδικού.

Η Apple θεωρώ ότι έχει προχωρήσει το θέμα της ασφάλειας και ζητάει κωδικούς, PIN, εγκρίσεις από τρίτες συσκευές του χρήστη. Αυξάνεται η ασφάλεια, αλλά μειώνεται η ευχρηστία, ειδικά από άτομα που δεν έχουν ιδιαίτερες γνώσεις τεχνολογίας. Συχνά, ό,τι κερδίζεις σε ασφάλεια, το χάνεις σε ευκολία χρήσης και είναι δύσκολο να πετύχεις τη βέλτιστη λύση για μεγάλη μερίδα χρηστών.

Όταν μιλάμε για phising και άνθρωπος στο σπίτι να έρθει για να σε ρωτήσει αν όντως εσύ το κάνεις, πάλι θα πεις ναι και θα μπουν.
Το πρόβλημα δεν είναι ότι πήραν στην κατοχή τους τα username/password/OTP generator. Αλλά ότι ο χρήστης τα έβαλε σε μία σελίδα που θεωρούσε legit αλλά αποδείχθηκε μαϊμού! Οπότε ότι και να κάνει η Αpple (και η κάθε apple) πάντα ο χρήστης θα είναι ο πιο αδύναμος κρίκος!

[aroutis]

Ούτε η single factor authendication χρειάστηκε να "πέσει" για να δημιουργηθεί η two factor. Απλά κατάλαβαν ότι η πρώτη ξεπερνιέται εύκολα από τους hackers, οπότε δημιούργησαν κάτι πιο σύνθετο, ώστε να μην αρκεί μόνο η διαρροή ενός κωδικού.

Η Apple θεωρώ ότι έχει προχωρήσει το θέμα της ασφάλειας και ζητάει κωδικούς, PIN, εγκρίσεις από τρίτες συσκευές του χρήστη. Αυξάνεται η ασφάλεια, αλλά μειώνεται η ευχρηστία, ειδικά από άτομα που δεν έχουν ιδιαίτερες γνώσεις τεχνολογίας. Συχνά, ό,τι κερδίζεις σε ασφάλεια, το χάνεις σε ευκολία χρήσης και είναι δύσκολο να πετύχεις τη βέλτιστη λύση για μεγάλη μερίδα χρηστών.

Το google auth μια χαρά δουλεύει όταν σου ζητά το κωδικό μέσω κινητού που έχεις installed το google authenticator.
Δεν έχεις το device ? Καλή τύχη.

[eyw]

... targets included high-profile defenders, detractors, and enforcers of the nuclear deal ...

ε, τότε φταίνε οι high-profile defenders, detractors, and enforcers of the nuclear deal και όχι το 2FA ή το 22FA.
Αν ήθελαν ας πληκτρολογούσαν το https://login.yahoo.com/ μόνες τους.

btw το arsetechnica μάλλον μιλάει για JCPOA (διορθώστε αν λάθος) την οποία κατήργησε μονομερώς ο Ντόναλντ πριν 5-6 μήνες.
Επειδή ότι γράφεται σχετικά με IRAN πιθανόν να είναι φορτωμένο με σκοπιμότητες ας είμαστε προσεκτικοί στην ανάγνωση.

Πως βρίσκουμε ότι το abc domain σχετίζεται με την xyz κυβέρνηση ή χώρα?

[sdikr]

Πως βρίσκουμε ότι το abc domain σχετίζεται με την xyz κυβέρνηση ή χώρα?

Δεν το βρίσκεις, ή καλύτερα δεν μπορείς να είσαι ποτέ σίγουρος, πχ το .gr Μπορεί να το πάρει και όποιος άλλος θέλει απο το εξωτερικό

Τελικά όταν ακούμε Ρωσία, Ιραν ξέρουμε πως είναι πάντα άλλοι απο πίσω αλλά ποτέ αυτοί

[tsigarid]

Δεν το βρίσκεις, ή καλύτερα δεν μπορείς να είσαι ποτέ σίγουρος, πχ το .gr Μπορεί να το πάρει και όποιος άλλος θέλει απο το εξωτερικό

Τελικά όταν ακούμε Ρωσία, Ιραν ξέρουμε πως είναι πάντα άλλοι απο πίσω αλλά ποτέ αυτοί

Ποτέ δεν ψάχνεις κάτι τέτοιο με domain name, πάντα ΙΡ κοιτάς.

[eyw]

ναι αλλά στο blog τους η CERTFA δεν αναφέρει ούτε 1 Ιρανική διεύθυνση, λένε μόνον:

... Moreover, our technical reviews reveal that the individuals, who are involved in this campaign used Virtual Private Networks (VPNs) and proxies with Dutch and French IP addresses to hide their original location. In spite of their efforts, we have uncovered enough evidence to prove that the attackers were using their real IP addresses (i.e 89.198.179[.]103 and 31.2.213[.]18 from Iran during the preparation phase of their campaign). ...

Και πέστε μου τι και πως βρίσκουμε "enough evidence" ότι πίσω από το vpn ήταν Ιρανοί ή Αρειανοί. Εκτός και αν είχαν βάλει χέρι στους vpn, το πιθανότερο.

[sdikr]

Ποτέ δεν ψάχνεις κάτι τέτοιο με domain name, πάντα ΙΡ κοιτάς.

Εγώ έχω ενα ελληνικό domain που αυτή την στιγμή χτυπάει σε Ολλανδική Ip, ενα το έχω σε Γερμανική, και δυο σε Αμερικάνικη.....

[tiatrou]

Εγώ έχω ενα ελληνικό domain που αυτή την στιγμή χτυπάει σε Ολλανδική Ip, ενα το έχω σε Γερμανική, και δυο σε Αμερικάνικη.....

Έτσι ακριβώς. Και εγώ έχω ένα .gr domain σε Γερμανική IP. Μόνο από το IP και μόνο αν δεν χρησιμοποιείται VPN, μπορείς να δεις από που προέρχεται και πάλι δεν ξέρω αν είναι απολύτως σίγουρο.