Как хакеры обходят 2FA – двухфакторною аутентификацию?

Как хакеры обходят 2FA - двухфакторною аутентификацию?

В настоящее время, двухфакторная аутентификация становится все более востребованной. Всем пользователям настоятельно рекомендуется использовать 2FA, которая часто представляется в качестве оптимального решения для защиты от опасностей, кражи личных данных и их утечки.

Конечно, 2FA намного лучше примитивного логина, но это еще не все. Всем известно, что пароли в корне небезопасны и до тех пор, пока они остаются в тренде, защита учетных записей остается под угрозой. Но 2FA не панацея, она пока что не справляется с нагрузкой всех прорывов – паролей и людей, которые их создают. Этим успешно пользуются злоумышленники и обходят 2FA, чем доказывают, что путь к хорошей безопасности и истинному спокойствию лежит не здесь.

Как хакеры обходят 2FA?

Хакеры могут использовать несколько потоков эксплойтов для целевых учетных записей 2FA на основе паролей. Рассмотрим несколько распространенных техник обхода 2FA в действии:

1. Браузер Necro

Все гениальные решения просты – и это одно из них. Два инструмента – Muraena и NecroBrowser автоматизируют фишинговые атаки, которые могут обойти 2FA. Большинство средств защиты не остановят их по простой причине – эти атаки идут непосредственно к первопричине всех нарушений – пользователям.

Принцип работы такой же, как и у любой фишинговой схемы, за исключением одного момента. Вместо того, чтобы просто создать поддельный сайт, который выглядит как реальный для того, чтобы обманом заставить пользователей ввести свои пароли, новый способ действует еще и как прокси между жертвой и реальным сайтом. Как только пользователь войдет в систему – запрос посылается от его имени в службу. Пользователь, ошибочно считая, что находится на легальной странице входа в систему, передает и пароль, и PIN-код 2FA непосредственно в руки злоумышленника.

Злоумышленник входит в систему, используя оба фактора на реальной странице входа и вуаля – он имеет полный доступ к системе, полностью автоматически и в режиме реального времени.

Фишинговая атака

2. Атака “человек в браузере”

Во-первых, хакер заранее готовится для такой атаки, предварительно заразив устройство пользователя трояном. Обычно это делается с помощью фишинга или социальной инженерии. Как только троян активизируется, злоумышленник получает возможность контролировать все действия пользователя в интернете. Хакер получает беспрепятственный доступ к истории браузера и его активности, и даже видит, что вводит пользователь, включая пароли. Многие люди слишком доверяют своему браузеру и хранят в нем много личной информации. Не стоит этого делать.

На видео: Обход двухфакторной аутентификации. Новый фишинг

3. Социальная инженерия и фишинг

Умение манипулировать пользователями – это оружие хакеров, выбранное ими по веской причине: оно отлично работает. Социальная инженерия использует человеческую психологию против пользователей, и никакая технология не может эффективно блокировать атаки СИ. Существует множество способов использования социальной инженерии для обхода 2FA, от рассылки SMS до писем на электронную почту. Чаще всего пользователи добровольно передают свои пароли и коды.
После того, как злоумышленники получат доступ к учетной записи, они начинают искать уязвимости, чтобы получить повышенный доступ к защищенным ресурсам пользователя. После чего, они могут манипулировать настройками 2FA. Например, изменить номер телефона, привязанный с учетной записи, чтобы данные теперь отправлялись на устройство злоумышленника.

Хакеры могут нацелиться на аутентификацию 2FA огромным количеством способов:

  • Перехватить 2FA ПИН-код “в пути”.
  • Перенаправить 2FA на свое устройство.
  • Получите PIN-код 2FA непосредственно от пользователя, с помощью спуфинга и социальной инженерии.
  • Украсть маркеры сессии после 2FA и войти в аккаунт, не проходя через 2FA вообще.

2FA без пароля

Выход из этой неразберихи прост – отказаться от паролей, также как и от менеджеров паролей и сложных паролей – они практически никогда не работали в прошлом, и точно не будут работать в будущем.
Беспарольная аутентификация – это 100% защита. Это означает, что у нас наконец-то появился метод аутентификации, который не полагается на самое слабое звено в безопасности. Пришло время оставить позади всю парадигму безопасности, которая основывалась только на паролях – технология наконец-то наверстала упущенное.

Беспарольная аутентификация работает так:

  • Вместо логина и пароля, пользователи вводят только адрес своей почты. Ваше приложение отправляет на указанный адрес одноразовую ссылку. Когда пользователь кликает по ней, то автоматически входит на сайт или приложение.
  • Есть еще один метод, при котором вместо одноразовой ссылки по SMS отправляется одноразовый код, который также можно получить по почте.
  • И последний, менее популярный и доступный метод беспарольной аутентификации – использовать Touch ID.
Исхаков Максим

Руководитель информационного портала "Безопасник". Директор компании по продаже и установке систем безопасности.

Оцените автора
Портал о системах видеонаблюдения и безопасности
Добавить комментарий