Parece que tu intención es derrotar la autenticación de dos factores. Hay varias formas de hacerlo, algunas de las cuales utilizan su configuración.
¿Qué es la autenticación de dos factores?
La autenticación de dos factores es esencialmente una capa de seguridad agregada. Si alguien roba su contraseña y tiene 2FA habilitado, es poco probable que se les permita iniciar sesión sin detalles adicionales de inicio de sesión. Por ejemplo, el autenticador de World of Warcraft, un mensaje de texto o un correo electrónico que contenga un código de acceso.
¿Es posible su ataque?
- ¿Esto funciona en un escenario real? 2FA no puede bloquear el acceso del atacante?
Estas son dos preguntas:
- Es probable que esto funcione en un escenario real.
- Correcto, 2FA es relativamente tonto cuando se trata de detectar algo como esto. 2FA solo intenta verificar, con un nivel adicional de seguridad, que eres quien dices que eres cuando te conectas desde una fuente desconocida.
Sin embargo, https plantea un desafío. ¿Cómo lograr que el usuario instale un certificado falso en su navegador? La mayoría de los navegadores advertirán a los individuos de inmediato si algo está sucediendo. ¿Crees que la mayoría de los usuarios harán clic en "Entiendo los riesgos, déjame visitar Anwyay"?
Es posible que ni siquiera necesite usar ssl
en algunos casos. Probablemente podría redirigirlos a http://
en lugar de https://
, y ellos no lo notarán. Un usuario experto en tecnología puede ni siquiera darse cuenta.
Además, modificaría tu ataque:
- Recoge su huella digital del navegador
- Después de que intenten iniciar sesión, redirigirlos al sitio web de Facebook true con una acción de inicio de sesión.
- Use la huella digital de su navegador para iniciar sesión.
¿Por qué? Porque Facebook les avisará del inicio de sesión. Si coincide con la dirección IP desde la que se están conectando y muestra la misma huella digital del navegador, es probable que Facebook suponga que está utilizando el modo Incógnito con otra ventana del navegador, ya que sus sesiones de cookies son diferentes.
- ¿Puede alojar un sitio https sin conexión y certificados falsos para que el sitio sea menos sospechoso?
Lo que estás describiendo es esencialmente un man-in-the-middle attack
junto a DNS hijacking
para los fines de phishing
.
Sí, esto es definitivamente posible. He hecho algo como esto antes como prueba para intentar derrotar al autenticador de World of Warcraft (estaba aburrido y quería ver si se podía hacer; solo lo hice para mí), y funcionó bastante bien, pero lo hice. no usar el secuestro de DNS para eso, solo un MiTM.
¿Cómo anulas la autenticación de dos factores?
Me doy cuenta de que algunos de estos métodos no serán una respuesta directa a tu pregunta. Simplemente estoy proporcionando un punto de vista alternativo, ya que su objetivo es romper 2FA. Tienes que pensar fuera de la caja.
-
En muchos casos, 2FA puede ser derrotado por un keylogger
/ trojan
.
-
"Pero, Sr. Buffalo, ¿por qué usaría un keylogger? ¿Cómo podría infectarlos?" Si controla el punto de acceso no autorizado, puede dirigir al usuario a una página de inicio de sesión falsa o un EULA página con un botón "continuar", y puede alojar un exploit drive-by-download en la página. La mayoría de los usuarios no van a buscar esto.
- En los casos en que el sistema de inicio de sesión detecta y rechaza diferentes direcciones IP y huellas dactilares del navegador, como el programa secreto de auto-ban de World of Warcraft que prohíbe a las personas que se conectan a servidores norteamericanos que se encuentran en China, y Los países de "riesgo", incluso si son usuarios legítimos, pueden derrotar estos sistemas de detección utilizando la conexión a Internet de la víctima como un proxy.
-
2FA puede ser derrotado con su método, pero sería aún mejor si se modifica con las sugerencias anteriores.
- En los casos de navegación web, también debe robar la huella digital del navegador de la víctima y usarla. Esto es mucho más trabajo del que crees, pero si lo logras, parece que se origina en la máquina de la víctima y no en la tuya. Miedo, ¿no es así? Alguien podría personificarte con una precisión increíble, e incluso meterte en problemas por violar la ley cuando no fue tú quien lo hizo. Esto es un buena razón por la que las direcciones IP no pueden considerarse una persona .
En cualquiera de los escenarios, requiere mucho trabajo.