如果您在帐户上启用了双因素身份验证(2FA),则不会受到损害,对吗?
嗯,不完全是。随着技术的进步,攻击者也是如此。网络钓鱼攻击变得更加复杂,攻击者正在寻找绕过2FA的方法。原因是因为您的浏览器中存储了美味的cookie。会话 Cookie 是向服务器显示用户已通过身份验证的一种方式。这包括通过2FA挑战。您的浏览器可以使用这些 Cookie,直到超过其销售截止日期(抱歉)。Cookie 过期后,系统将要求您重新进行身份验证。
这取决于应用程序,但有些应用程序可能比其他应用程序具有更强的限制。这些包括:
- 一次性使用饼干。
- 受IP,设备或某种指纹的限制。
- 链接到另一个验证cookie的元素(反欺骗)。
但并非所有情况都是如此,这就是攻击者正在利用的。Outlook,Gmail和社交网络平台等服务都允许重复使用cookie。攻击者只需要一种提取它们的方法。
为了向您展示它是如何工作的,我将使用一个名为EditThisCookie的浏览器扩展: http://www.editthiscookie.com/
您不需要花哨的扩展程序即可查看和查看您的Cookie。如果您在浏览器(开发人员)中点击 F12,则可以在“应用程序>存储”下看到正在使用的 Cookie。
问题是,你没有一个简单的方法来提取它们。当然,您可以复制和粘贴,但这是冗长的,容易出错。这就是Cookie编辑器使生活更轻松的地方。使用EditThisCooke,我们可以简单地将cookie导出和导入到不同的浏览器中。
以 Outlook.com 为例。我们首先登录我们的帐户。
输入密码后,我们将批准 MFA 提示。
现在我们进来了。在下面你可以看到我正在使用两个浏览器。在左侧,我已使用Chrome登录Outlook。在右侧,您可以看到我没有登录到Outlook并且正在使用Firefox。请记住,Cookie 是特定于浏览器的。
使用EditThisCookie,我可以从Chrome导出我的Outlook Cookie…
…并将它们导入火狐。如您所见,我仍然未登录。
导入后,我再次点击Outlook网站并登录。这是因为 Firefox 使用我导入的 cookie 来证明我已经验证了。
导入后,我再次点击Outlook网站并登录。这是因为 Firefox 使用我导入的 cookie 来表明我已经验证了。
这是在同一台设备上完成的,但是,如果我使用另一台设备,这也有效。如果我在设备 1 上导出 Cookie 并将其导入设备 2,我将得到相同的结果(取决于应用程序)。
这基本上就是攻击者现在正在利用的东西。您可能会想,他们将如何访问我的设备?
答案是他们没有试图这样做。虽然我确信这可以实现,但风险相当低。攻击者可以使用某种脚本或Rubber Ducky提取cookie,但这不太可能。相反,他们希望你来找他们。
这就是EvilGinx2发挥作用的地方: https://github.com/kgretzky/evilginx2
EvilGinx2是一个代理/网络钓鱼工具,可以提取您的会话cookie。它通过创建网络钓鱼站点来做到这一点,并诱骗您输入凭据,包括2FA挑战。
EvilGinx2是一个代理/网络钓鱼工具,可以提取您的会话cookie。它通过创建网络钓鱼站点来做到这一点,并诱骗您输入凭据,包括2FA挑战。
一旦用户被愚弄,Evilginx就会保存令牌,允许攻击者提取并将其导入到他们选择的浏览器中。整个过程会破坏2FA提示,因为服务器读取cookie并假设用户已经过身份验证。正如我上面提到的,某些应用程序对cookie有限制。Evilginx的好处是身份验证的来源将是Evilginx服务器。这意味着,攻击可以使用服务器本身的浏览器,并绕过任何IP和设备限制。请记住,会话cookie会将源记录为Evilginx服务器,而不是您的客户端。
该开发创建了下面的视频来解释它是如何工作的。
那么,您可以做些什么来防范这种类型的攻击呢?
好吧,这种攻击的一个缺陷是DNS记录必须令人信服才能欺骗今天的用户。攻击者将寻求在所有人都可以访问的Web服务器上托管Evilginx。这将要求攻击者设置外部 IP 和 DNS 记录。因此,他们将无法使用任何Microsoft的官方域名。这适用于Google和任何其他具有Phishlet的网站。攻击者将不得不使用我上一篇文章中描述的技术: https://xstag0.com/2019/07/11/how-the-phishers-phish/
与此作斗争的最简单方法是教育。现在攻击者使用HTTPS看起来是真实的,我们真的需要在输入凭据之前检查URL。
amoran.io 
Leave a Reply