Questo attacco al concetto funziona per raccogliere credenziali e 2FA utilizzando un sito falso offline?

4

Il mio concetto è questo:

  1. Il client si connette a Malicious \ Eviltwin AP
  2. Il client si connette a www.facebook.com ma questo è un falso sito offline dal server falso DNS
  3. Il cliente inserisce l'utente e la password --- > l'utente malintenzionato riceve le credenziali
  4. L'attaccante usa i crediti per entrare nella pagina 2Factor Auth di facebook
  5. L'attaccante replica / promuove la pagina falsa 2FA anche offline e ottiene il codice 2FA
  6. L'attaccante ottiene l'accesso completo all'account
  7. Invia un messaggio di errore al client e poi lo spinge nel vero facebook

Le mie domande sono:

  • Questa cosa funziona in uno scenario reale? 2FA non può bloccare l'accesso dell'utente malintenzionato?
  • Puoi ospitare siti https offline e certificati falsi per rendere meno sospetto il sito?
posta S4mick 20.10.2015 - 12:07
fonte

3 risposte

2

Sembra che il tuo intento sia quello di sconfiggere l'autenticazione a due fattori. Ci sono alcuni modi per farlo, alcuni dei quali usano il tuo setup.

Che cos'è l'autenticazione a due fattori?

L'autenticazione a due fattori è essenzialmente un ulteriore livello di sicurezza. Se qualcuno ruba la tua password e hai attivato 2FA, è improbabile che possa accedere senza ulteriori dettagli di accesso. Ad esempio, l'autenticatore di World of Warcraft, un messaggio di testo o un'email contenente un codice di accesso.

Il tuo attacco è possibile?

  1. Is this thing working in a real scenario? 2FA can't block access of the attacker?

Queste sono due domande:

  1. Probabilmente funziona in uno scenario reale.
  2. Corretto, 2FA è relativamente stupido quando si tratta di rilevare qualcosa di simile. 2FA cerca solo di verificare, con un ulteriore livello di sicurezza, che tu sei quello che dici di essere quando ti connetti da una fonte sconosciuta.

Tuttavia, https rappresenta una sfida. Come si ottiene l'utente per installare un certificato falso nel proprio browser? La maggior parte dei browser avviserà immediatamente gli individui se qualcosa sta succedendo. Pensi che la maggior parte degli utenti cliccherà "Comprendo i rischi, fammi visitare anwyay?"

In alcuni casi potresti non aver nemmeno bisogno di usare ssl . Probabilmente potresti reindirli a http:// anziché https:// , e non lo noterebbero. Un utente esperto di tecnologia potrebbe nemmeno rendersene conto.

Inoltre, modificherei il tuo attacco:

  1. Raccogli le impronte digitali del browser
  2. Dopo che tentano di accedere, reindirizzali al sito web true di Facebook con un'azione di accesso.
  3. Utilizza l'impronta digitale del browser per accedere.

Perché? Perché Facebook li avviserà del login. Se corrisponde all'indirizzo IP da cui si connettono e mostra la stessa impronta digitale del browser, probabilmente Facebook presumerebbe che tu stia utilizzando la modalità di navigazione in incognito con un'altra finestra del browser poiché le tue sessioni di cookie sono diverse.

  1. Can you host offline https site and fake certificates to make less suspicious the site?

Quello che stai descrivendo è essenzialmente un man-in-the-middle attack insieme a DNS hijacking ai fini di phishing .

Sì, questo è sicuramente possibile. Ho già fatto qualcosa del genere come prova per provare a sconfiggere l'autenticatore di World of Warcraft (ero annoiato, e volevo vedere se poteva essere fatto, l'ho fatto solo per me), e ha funzionato abbastanza bene - ma l'ho fatto non usare il dirottamento DNS per questo, solo un MiTM.

Come sconfiggi l'autenticazione a due fattori?

Mi rendo conto che alcuni di questi metodi non saranno una risposta diretta alla tua domanda. Sto semplicemente fornendo un punto di vista alternativo, in quanto il tuo obiettivo è rompere 2FA. Devi pensare fuori dagli schemi.

  • In molti casi, 2FA può essere sconfitto da un keylogger / trojan .

    • "Ma Mr. Buffalo, perché dovrei usare un keylogger? Come potrei infettarli?" Se controlli il punto di accesso canaglia, puoi indirizzare l'utente a una pagina di accesso falsa o a un EULA pagina con un pulsante "continua" ed è possibile ospitare un exploit drive-by-download nella pagina. La maggior parte degli utenti non cercherà questo.
    • Nei casi in cui diversi indirizzi IP e impronte digitali del browser vengono rilevati dal sistema di accesso e rifiutati, come il programma segreto di auto-ban di World of Warcraft che vieta le persone che si connettono ai server nordamericani che si trovano in Cina, e altri "high- "paesi a rischio", anche se sono utenti legittimi, quindi è possibile sconfiggere questi sistemi di rilevamento utilizzando la connessione Internet della vittima come proxy.
  • 2FA può essere sconfitto con il tuo metodo, ma sarebbe ancora meglio se modificato con i suggerimenti di cui sopra.

    • In caso di navigazione web, dovresti anche rubare l'impronta digitale del browser della vittima e usarla. Questo è molto più lavoro di quanto pensi, ma se lo elimini, sembrerà che provenga dalla macchina della vittima, e non dalla tua. Spaventoso, non è vero? Qualcuno potrebbe impersonare te con incredibile precisione, e persino metterti nei guai per aver violato la legge quando non è stato tu a farlo. Questo è un una buona ragione per cui gli indirizzi IP non possono essere considerati una persona .

In entrambi gli scenari, richiede molto lavoro.

    
risposta data 19.12.2015 - 16:59
fonte
0

Sembra che tu l'abbia già provato; quali sono stati i risultati? In teoria il tuo attacco potrebbe funzionare, tuttavia ci sono alcuni elementi chiave da considerare:

  • Il più grande rallentamento è il tempo, è necessario automatizzare questo processo in modo da poter essenzialmente richiedere alla vittima quasi in tempo reale la chiave 2FA. Ciò potrebbe causare problemi a causa della sua complessa configurazione e manutenzione.
  • Facebook registra gli indirizzi IP e gli ultimi tentativi di accesso in modo tale che un utente esperto possa identificarlo, ma questo non è tanto uno stopper.
  • Alcune configurazioni 2FA potrebbero rilevare che il dispositivo 2FA e il browser effettivo che accede a Facebook non corrispondono e non riescono ad accedere (o richiedono ulteriori domande di sicurezza).

La linea di fondo è che potrebbe essere semplicemente più facile eseguire un attacco del tubo di gomma per ottenere qualunque dato tu sia realmente dopo perché a Alla fine della giornata il tuo attacco richiede molto di configurazione ed è davvero efficace solo se conosci almeno una parte del tuo obiettivo.

    
risposta data 19.11.2015 - 14:41
fonte
-2

Per attivare il server per creare un codice 2FA, devi essere il server, utilizzando un vettore di attacco di social engineering non sarà sufficiente, puoi solo duplicare la pagina web ma non il codice che genera e invia la chiave ... .

Supponendo che sia possibile creare un server, il server deve avere la chiave del server originale, deve essere considerato attendibile dal sistema 2FA dei ricevitori e deve mimetizzarlo nella sua interezza.

Supponendo (1 / Million Chance), che puoi anche farlo, il 2FA all'entrata invalida (ad esempio dopo che il 2FA è stato utilizzato, non vale niente) quindi anche se lo raccogli, non è valido.

    
risposta data 20.10.2015 - 12:42
fonte

Leggi altre domande sui tag