Pesquisador quebra 2FA do Linkedin usando Engenharia Social. Empresas e consumidores ao redor do mundo são encorajados a adotar a autenticação de dois fatores como um meio de fortalecer a segurança de login. Mas o 2FA não é exagerado e nem inviolável: os invasores estão encontrando maneiras de contornar a prática recomendada usando engenharia social.
Um novo exploit, demonstrado pelo chief hacking officer da KnowBe4, Kevin Mitnick, permite que os agentes de ameaças acessem as contas de destino com um ataque de phishing. A ferramenta para fazer isso foi originalmente desenvolvida pelo White hat Kuba Gretzky, que a apelidou de evilginx e explica isso em um post técnico.
O ataque parece simples, sempre que um usuário receber uma nova solicitação de conexão no Linkedin, você será notificado por e-mail, ao clicar em interessado, levará para a conta do Linkedin. Em vez de redirecionar para o Linkedin, ele redireciona para o domínio de phishing llnked [.]com e pede para preencher as credenciais de login.
Depois de inserir as credenciais, ele aciona a verificação 2FA, no mesmo período, o atacante pode ver o nome de usuário da vítima, a senha e o cookie da sessão em uma janela separada e depois que a vítima digita o código de autenticação de 6 dígitos, ela cria um cookie de sessão que permite acesso seguro ao site. Enquanto isso, um invasor pode interceptar o cookie da sessão, que pode ser usado por um invasor para fazer login com a conta da vítima sem inserir as credenciais da conta.
Após isto o invasor só precisa visitar o site do Linkedin e injetar o cookie de sessão por meio de ferramentas de desenvolvedor e acessar a atualização para fazer login com a conta da vítima.
Não é a primeira vez que o 2FA é hackeado, diz Stu Sjouwerman, fundador e CEO da KnowBe4. “Há pelo menos dez maneiras diferentes de ignorar a autenticação de dois fatores“, explica ele em entrevista ao site Dark Reading.
Esses tipos de exploits são geralmente apresentados como conceitos em conferências como a Black Hat. A demonstração de Mitnick coloca o código no contexto para que as pessoas possam ver como funciona. Isso pode ser usado para qualquer site, mas o invasor precisa ajustar o código, dependendo de como deseja usá-lo.
fonte: Darkreading
Veja também:
Deixe sua opinião!