¿Este ataque de concepto funciona para cosechar credenciales y 2FA usando un sitio falso sin conexión?

4

Mi concepto es este:

  1. El cliente se conecta a Malicious \ Eviltwin AP
  2. El cliente se conecta a www.facebook.com pero este es un sitio sin conexión falso por el servidor falso de dns
  3. El cliente ingresa usuario y contraseña --- > el atacante obtiene credenciales
  4. El atacante usa los credenciales para ingresar a la página de Autenticación de Facebook 2Factor
  5. La página falsa 2FA del replicador / solicitud del atacante también está fuera de línea y obtiene el Código 2FA
  6. El atacante obtiene acceso completo a la cuenta
  7. Envía un mensaje de error al cliente y luego le pide que ingrese al facebook real

Mis preguntas son:

  • ¿Esto funciona en un escenario real? ¿2FA no puede bloquear el acceso del atacante?
  • ¿Puede alojar un sitio https sin conexión y certificados falsos para que el sitio sea menos sospechoso?
pregunta S4mick 20.10.2015 - 12:07
fuente

3 respuestas

2

Parece que tu intención es derrotar la autenticación de dos factores. Hay varias formas de hacerlo, algunas de las cuales utilizan su configuración.

¿Qué es la autenticación de dos factores?

La autenticación de dos factores es esencialmente una capa de seguridad agregada. Si alguien roba su contraseña y tiene 2FA habilitado, es poco probable que se les permita iniciar sesión sin detalles adicionales de inicio de sesión. Por ejemplo, el autenticador de World of Warcraft, un mensaje de texto o un correo electrónico que contenga un código de acceso.

¿Es posible su ataque?

  
  1. ¿Esto funciona en un escenario real? 2FA no puede bloquear el acceso del atacante?
  2.   

Estas son dos preguntas:

  1. Es probable que esto funcione en un escenario real.
  2. Correcto, 2FA es relativamente tonto cuando se trata de detectar algo como esto. 2FA solo intenta verificar, con un nivel adicional de seguridad, que eres quien dices que eres cuando te conectas desde una fuente desconocida.

Sin embargo, https plantea un desafío. ¿Cómo lograr que el usuario instale un certificado falso en su navegador? La mayoría de los navegadores advertirán a los individuos de inmediato si algo está sucediendo. ¿Crees que la mayoría de los usuarios harán clic en "Entiendo los riesgos, déjame visitar Anwyay"?

Es posible que ni siquiera necesite usar ssl en algunos casos. Probablemente podría redirigirlos a http:// en lugar de https:// , y ellos no lo notarán. Un usuario experto en tecnología puede ni siquiera darse cuenta.

Además, modificaría tu ataque:

  1. Recoge su huella digital del navegador
  2. Después de que intenten iniciar sesión, redirigirlos al sitio web de Facebook true con una acción de inicio de sesión.
  3. Use la huella digital de su navegador para iniciar sesión.

¿Por qué? Porque Facebook les avisará del inicio de sesión. Si coincide con la dirección IP desde la que se están conectando y muestra la misma huella digital del navegador, es probable que Facebook suponga que está utilizando el modo Incógnito con otra ventana del navegador, ya que sus sesiones de cookies son diferentes.

  
  1. ¿Puede alojar un sitio https sin conexión y certificados falsos para que el sitio sea menos sospechoso?
  2.   

Lo que estás describiendo es esencialmente un man-in-the-middle attack junto a DNS hijacking para los fines de phishing .

Sí, esto es definitivamente posible. He hecho algo como esto antes como prueba para intentar derrotar al autenticador de World of Warcraft (estaba aburrido y quería ver si se podía hacer; solo lo hice para mí), y funcionó bastante bien, pero lo hice. no usar el secuestro de DNS para eso, solo un MiTM.

¿Cómo anulas la autenticación de dos factores?

Me doy cuenta de que algunos de estos métodos no serán una respuesta directa a tu pregunta. Simplemente estoy proporcionando un punto de vista alternativo, ya que su objetivo es romper 2FA. Tienes que pensar fuera de la caja.

  • En muchos casos, 2FA puede ser derrotado por un keylogger / trojan .

    • "Pero, Sr. Buffalo, ¿por qué usaría un keylogger? ¿Cómo podría infectarlos?" Si controla el punto de acceso no autorizado, puede dirigir al usuario a una página de inicio de sesión falsa o un EULA página con un botón "continuar", y puede alojar un exploit drive-by-download en la página. La mayoría de los usuarios no van a buscar esto.
    • En los casos en que el sistema de inicio de sesión detecta y rechaza diferentes direcciones IP y huellas dactilares del navegador, como el programa secreto de auto-ban de World of Warcraft que prohíbe a las personas que se conectan a servidores norteamericanos que se encuentran en China, y Los países de "riesgo", incluso si son usuarios legítimos, pueden derrotar estos sistemas de detección utilizando la conexión a Internet de la víctima como un proxy.
  • 2FA puede ser derrotado con su método, pero sería aún mejor si se modifica con las sugerencias anteriores.

    • En los casos de navegación web, también debe robar la huella digital del navegador de la víctima y usarla. Esto es mucho más trabajo del que crees, pero si lo logras, parece que se origina en la máquina de la víctima y no en la tuya. Miedo, ¿no es así? Alguien podría personificarte con una precisión increíble, e incluso meterte en problemas por violar la ley cuando no fue quien lo hizo. Esto es un buena razón por la que las direcciones IP no pueden considerarse una persona .

En cualquiera de los escenarios, requiere mucho trabajo.

    
respondido por el Mark Buffalo 19.12.2015 - 16:59
fuente
0

Parece que ya lo has probado; ¿Cuáles fueron los resultados? En teoría, su ataque podría funcionar, sin embargo, hay algunos elementos clave a considerar:

  • La mayor retención es el tiempo, necesitaría automatizar este proceso para que esencialmente pueda pedirle a la víctima casi en tiempo real la tecla 2FA. Esto puede llevar a problemas debido a su compleja configuración y mantenimiento.
  • Facebook registra las direcciones IP y los últimos intentos de inicio de sesión, por lo que un usuario de conocedores podría identificar esto, pero esto no es tanto un obstáculo para la presentación.
  • Algunas configuraciones 2FA pueden detectar que el dispositivo 2FA y el registro real del navegador en Facebook no coinciden y no pueden iniciar sesión (o solicitar más preguntas de seguridad).

La conclusión es que puede ser más fácil realizar un ataque de manguera de goma para obtener los datos que realmente busca, porque Al final del día, su ataque requiere mucho de configuración y, en realidad, solo es efectivo si sabe al menos algo sobre su objetivo previsto.

    
respondido por el Matthew Peters 19.11.2015 - 14:41
fuente
-2

Para activar el servidor para crear un código 2FA, debe ser el servidor, usar un vector de ataque de ingeniería social no será suficiente, solo puede duplicar la página web pero no el código que genera y envía la clave ... .

Suponiendo que puede construir un servidor, su servidor debe tener la clave de servidores original, el sistema 2FA de los receptores debe confiar en él y debe imitarlo en su totalidad.

Suponiendo (1 / Million Chance), que incluso puedes hacer esto, el 2FA en la entrada se invalida (es decir, después de que se usa el 2FA, no vale la pena) por lo que incluso si lo cosechas, no es válido.

    
respondido por el Coloured Thought 20.10.2015 - 12:42
fuente

Lea otras preguntas en las etiquetas