Hacker-spoofing går förbi 2FA säkerhet i Gmail, mål för säkra e-tjänster

0
139

Noll

En ny våg av attacker är riktade Google-och Yahoo-konton för att kringgå två-faktor autentisering samt kompromiss användare av säkra e-tjänster, forskare har varnat för.

På onsdag kommer en ny rapport som publiceras av icke-vinstdrivande Amnesty International gav oss en inblick i det inre arbetet i de senaste phishing-kampanjer som använder en mängd olika tekniker för att infiltrera användarkonton i hela Mellanöstern och nordafrika.

I rapporten, säger forskarna att flera kampanjer på gång, troligen utförd av samma hot grupp i syfte att rikta Människorättsförsvarare).

Den första kampanjen handlar om hundratals Google och Yahoo-konton är målinriktad, vilket resulterar i “lyckad bypass av vanliga former av tvåfaktorsautentisering (2FA).”

Hela 2017 och 2018, Amnesty International fick kopior av misstänkta e-postmeddelanden som skickas till Människorättsförsvarare och journalister i Mellanöstern och nordafrika. Vid undersökning, det verkade som att många av offren för en phishing-kampanj har sitt ursprung från Förenta Arabemiraten, Jemen, Egypten och Palestina.

I det här fallet angripare skickas utformad “säkerhetsvarning” meddelanden med det övergripande målet om att lura offer till skadliga domäner maskerad som legitima webbplatser som tillhör Google och Yahoo. Dessa var ofta vridas för att undvika nedläggning av ombuden.

Men det som gör denna kampanj är olika försök att bekämpa 2FA, ett extra lager av säkerhet som genomförts för att skydda online-konton genom koder som ofta skickas till kopplade mobila enheter.

Phishing platsen var utformad för att få kontouppgifter samt 2FA koden krävs för att få åtkomst till kontot. När forskarna loggat in på en av de bedrägliga domäner med hjälp av en slit och släng Gmail-adress, de var uppmärksammad på att en 2FA kod hade skickats — utlösas av automatiserade system.

Telefonnumret som används för att skapa det konto som tog emot ett SMS-meddelande. Den phishing-sida begärt koden, och en gång ingång, presenteras de team med en form och be dem att ändra sina lösenord innan omdirigera dem till en legitim Google login-sidan.

“I en helt automatiserad mode, angriparna lyckades att använda våra lösenord för att logga in på vårt konto, få av oss två-faktor autentisering kod som skickas till vår telefon, och så småningom få oss att ändra lösenordet till vårt konto,” den ideella säger.

Eftersom hela systemet är automatiserat, verifieringskoden som kan användas för att äventyra ett konto innan 2FA polletter upphör att gälla.

Attacken i fråga fungerade på exakt samma sätt som när det tillämpas på Yahoo-konton.

“Hotbilden utvecklas ständigt, och vi är fast beslutna att utvecklas med den för att hjälpa till att hålla våra användare säker,” en Yahoo-talesman sade. “År 2015, lanserade vi Yahoo-Konto Nyckel, som inte använder SMS, och uppmuntra användare att anta denna form av autentisering.”

Den andra kampanjen har tagit en annan väg och är speciellt att gå efter e-tjänster som marknadsför sig själva som säkra, såsom Tutanota och ProtonMail.

CNET: ryska påverkare frodades på Instagram efter att trycket på Facebook, Twitterter

De cyberbrottslingar har utnyttjat sällsynta möjligheter som, när den i beslag, kan resultera i phishing-kampanjer att bli betydligt mer effektiva-registrering av domäner som ser påfallande lika legitima tjänster.

I det här fallet, hackare kunde registrera domän tutanota.org — medan legitim service är värd på tutanota.com — och skapa en exakt kopia av den riktiga e-tjänsten.

Som användare förväntar dig tjänster på nätet för att äga dessa primära domäner, de kan vara mer känsliga för phishing-meddelanden be dem att besöka sådana länkar och input sina referenser, som sedan kan skördas.

“Dessa falska webbplatser använder också transport kryptering,” organisationen anteckningar. “Detta gör den väl erkända hänglås på den vänstra sidan i webbläsarens adressfält, vilka användare som har över åren har ofta lärt sig att titta efter när du försöker att skilja mellan legitima och skadliga webbplatser.”

TechRepublic: 5 största säkerhetsproblem av 2018

Användarna skulle inte se något fel som en gång deras referenser har kommit in, ett inloggningen på verkliga domän skulle inledas.

Webbplatsen är skenbar legitimitet ledde till Amnesty International att informera Tutanota, som begärt en takedown av nätfiskewebbplats.

ProtonMail var också ett mål via phishing domän protonemail.ch, som lade till ett extra “e” som kan vara lätt att missa som vill vara offer. Denna domän har sedan dess varit stängt.

Se även: ta Bort dig själv från internet och radera dina online-närvaro

Amnesty International säger att hotet aktörer som ansvarar mest sannolikt kommer att komma från Gulf-länderna, och har potentiellt riktade tusentals av Människorättsförsvarare, journalister, politiska aktörer och andra personer av intresse genom nätfiske.

“Sammantaget kommer dessa kampanjer är en påminnelse om att phishing är ett överhängande hot, och större medvetenhet och klarhet över lämpliga motåtgärder måste vara tillgängliga för försvarare av mänskliga rättigheter,” den ideella sagt.

ZDNet har nått ut till Google och ProtonMail och kommer att uppdatera om vi hör av sig igen.

Tidigare och relaterade täckning

Den här e-bluff sprider Trojaner via Google Cloud storageHackers har tjänat mer än $1,7 miljoner så långt från handel med stulna data från US gov betalning portalsFacebook försvarar ge teknisk jättar tillgång till omfattande data användare

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0