Một cách bypass MFA (xác thực đa yếu tố) căn bản bằng phishing



Tác giả: Lolong (Một người anh em UG chia sẻ với bạn đọc 7onez)

MFA là gì?

Multi-factor authentication – Xác thực đa yếu tố, hoặc viết tắt là MFA, là một cách để xác minh danh tính người dùng an toàn hơn khi so với chỉ kết hợp tên người dùng-mật khẩu như thông thường. MFA thường kết hợp mật khẩu, nhưng nó cũng được tích hợp thêm một hoặc hai yếu tố xác thực thêm kèm theo. Two-factor authentication- Xác thực hai yếu tố (2FA) cũng là một dạng MFA.

Phương pháp tấn công:

  1. Kẻ tấn công gửi đi phishing email.
  2. Nạn nhân mở email và sau đó cung cấp thông tin đăng nhập.
  3. Trang web độc hại ghi nhớ lại thông tin đăng nhập.
  4. Phiên đăng nhập được thiết lập.
  5. Session token được chuyển tiếp tới kẻ tấn công
  6. Kẻ tấn công chiếm quyền điều khiển phiên để có được quyền truy cập.
  7. Giải pháp phòng tránh nằm ở phía cuối bài.

Hệ thống lưu trữ thông tin của nạn nhân – VICTIM STACK – trang web chạy trên cổng 5000

git clone https://github.com/miguelgrinberg/two-factor-auth-flask.git
pip install -r requirements.txt
python app.py
http://localhost:5000

Hệ thống lưu trữ thông tin của những kẻ tấn công – ATTACKER STACK.

  1. Máy chủ Apache – lưu trữ HTML, CSS & JS giả mạo
  2. Flask (chạy trên cổng 8080) – nhận yêu cầu POST do người dùng gửi bao gồm tên người dùng, mật khẩu và OTP.
  3. Selenium – cùng với Flask để thực hiện đăng nhập thời gian thực.

Các bước thực hiện

Bước 1: Viết chức năng đăng nhập dịch vụ web bằng Selenium.

Thông qua WebDriver, Selenium hỗ trợ tất cả các trình duyệt phổ biến trên thị trường như Chrom (ium), Firefox, Internet Explorer, Opera và Safari. Nếu có thể, WebDriver điều khiển trình duyệt bằng cách sử dụng công hỗ trợ tự động hóa tích hợp sẵn trên trình duyệt, mặc dù không phải tất cả các trình duyệt đều có hỗ trợ chính thức cho việc điều khiển từ xa.

Mục đích của WebDriver là mô phỏng sự tương tác của người dùng thực với trình duyệt càng chặt chẽ càng tốt. Điều này có thể thực hiện được ở nhiều cấp độ khác nhau trong những trình duyệt khác nhau.

Bước 2: Nhân bản trang web giả mạo.

Cách dễ nhất để nhân bản trang web là điều hướng đến trang web mục tiêu và sau đó nhấn Ctrl + S để lưu giao diện người dùng web vào / var / www / html.

Bước 3: Tạo trình xử lý xác thực Flask và kết nối với Selenium từ bước 1. Tin tôi đi, bạn có thể tự làm được đó.

Chạy trình xử lí.

Bước 4: Cập nhật evil twin POST.

Bước 5: Chờ đợi nạn nhân sập bẫy.

Thông tin liên quan:

  • https://github.com/miguelgrinberg/two-factor-auth-flask
  • https://selenium-python.readthedocs.io/
  • https://www.cloudflare.com/learning/access-management/what-is-multi-factor-authentication/
  • https://dribbble.com/shots/10960055-Two-factor-authentication-2FA 

Vâng, đó là tất cả rồi mọi người ạ, hacking vui vẻ! 😊

GIẢI PHÁP PHÒNG CHỐNG PHISHING

Đối với cá nhân

Để tránh bị hacker sử dụng tấn công Phishing để lừa đảo trên Internet, thu thập dữ liệu cá nhân, thông tin nhạy cảm của bạn. Hãy lưu ý những điểm sau :

  • Cảnh giác với các email có xu hướng thúc giục bạn nhập thông tin nhạy cảm. Cho dù lời kêu gọi có hấp dẫn thế nào đi chăng nữa thì vẫn nên kiểm tra kỹ càng. VD: bạn mới mua sắm online, đột nhiên có email từ ngân hàng tới đề nghị hoàn tiền cho bạn, chỉ cần nhập thông tin thẻ đã dùng để thanh toán. Có tin được không ?!
  • Không click vào bất kỳ đường link nào được gửi qua email nếu bạn không chắc chắn 100% an toàn.
  • Không bao giờ gửi thông tin bí mật qua email.
  • Không trả lời những thư lừa đảo. Những kẻ gian lận thường gửi cho bạn số điện thoại để bạn gọi cho họ vì mục đích kinh doanh. Họ sử dụng công nghệ Voice over Internet Protocol. Với công nghệ này, các cuộc gọi của họ không bao giờ có thể được truy tìm.
  • Sử dụng Tường lửa và phần mềm diệt virus. Hãy nhớ luôn cập nhật phiên bản mới nhất của các phần mềm này.
  • Hãy chuyển tiếp các thư rác đến [email protected] Bạn cũng có thể gửi email tới [email protected] Tổ chức này giúp chống lại các phishing khác.

Đối với các tổ chức, doanh nghiệp

  • Training cho nhân viên để tăng kiến thức sử dụng internet an toàn. Thường xuyên tổ chức các buổi tập huấn, diễn tập các tình huống giả mạo
  • Sử dụng dịch vụ G-suite dành cho doanh nghiệp, không nên sử dụng dịch vụ Gmail miễn phí vì dễ bị giả mạo.
  • Triển khai bộ lọc SPAM để phòng tránh thư rác, lừa đảo
  • Luôn cập nhật các phần mềm, ứng dụng để tránh các lỗ hổng bảo mật có thể bị kẻ tấn công lợi dụng.
  • Chủ động bảo mật các thông tin nhạy cảm, quan trọng.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật