|

Παράκαμψη του 2FA από Ιρανούς hacker μέσω phishing

 

Yψηλά ιστάμενοι αξιωματούχοι των ΗΠΑ, ακτιβιστές δημοσιογράφοι και άλλα πρόσωπα σε ευαίσθητες θέσεις,έπεσαν θύματα επίθεσης από την Ιρανική κυβέρνηση.
According to the Associated Press, targets included high-profile defenders, detractors, and enforcers of the nuclear deal struck between Washington and Tehran, Arab atomic scientists, Iranian civil society figures, Washington think-tank employees, and more than a dozen US Treasury officials.
 
Η ομάδα πίσω από τις επιθέσεις, μέσω μιας πολύ οργανωμένης συλλογής προσωπικών πληροφοριών για τους στόχους τους, κατάφερε μέσω εξαιρετικά προσωποποιημένων phishing emais, να "ξεπεράσει" την προστασία 2FA μέσω SMS -two-factor authentication- που προσφέρουν υπηρεσίες όπως η Google και η Yahoo. Τα emails μέσω μιας κρυφής εικόνας, ενημέρων τους υποκλοπείς όταν αυτά διαβάζονταν και όταν τα θύματα έβαζαν τα credentials τους σε πλαστές σελίδες ασφαλείας, σε πραγματικό χρόνο αυτοί τα περνούσαν στις γνήσιες υπηρεσίες.

Στις περιπτώσεις που υπήρχε 2FA, ανακατεύθυναν τα θύματα τους σε άλλη εικονική σελίδα, που ζητούσε one time pass, για να τους υποκλέψουν το authenticating PIN ή κωδικό που λάμβαναν.

“In other words, they check victims’ usernames and passwords in realtime on their own servers, and even if 2 factor authentication such as text message, authenticator app or one-tap login are enabled they can trick targets and steal that information too,” Certfa Lab researchers wrote.

In an email, a Certfa representative said company researchers confirmed that the technique successfully breached accounts protected by SMS-based 2fa. The researchers were unable to confirm the technique succeeded against accounts protected by 2fa that transmitted one-time passwords in apps such as Google Authenticator or a compatible app from Duo Security.

“We’ve seen [it] tried to bypass 2fa for Google Authenticator, but we are not sure they’ve managed to do such a thing or not,” the Certfa representative wrote. “For sure, we know hackers have bypassed 2fa via SMS.”
The phishing campaign reported by Certfa was effective for other reasons besides its bypass of 2fa. For instance, it hosted malicious pages on sites.google.com and sent emails from addresses such as notifications.mailservices@gmail.com and noreply.customermails@gmail.com to give the impression the content was officially connected to Google. The phishers also dedicated more than 20 separate Internet domains to better tailor their targets’ use of email services on computers and phones.

Certfa said some of the domains and IP addresses used in the campaign connect the phishers to “Charming Kitten,” a hacker group previously linked to the Iranian government. The latest campaign started weeks before the US reimposed sanctions on Iran’s government in early November. 
 
Για περισσότερα μπορείτε να επισκεφθείτε το Arstechnica .
 
[via]