Internet es un lugar peligroso, repleto de personas sombrías que buscan robar su información personal. La habilitación de la autenticación de dos factores (a veces denominada verificación de dos factores) es una de las mejores maneras de mantener seguras sus cuentas en línea.
Sin embargo, el famoso pirata informático Kevin Mitnick muestra cómo incluso esta medida de seguridad no puede proteger por completo sus datos si no permanecemos vigilante constantemente.
El truco en cuestión no fue desarrollado por Mitnick, que trabaja como Chief Hacking Officer para la firma de seguridad KnowBe4. El crédito para esto va por cuenta del el hacker ( White Hat) sombrero blanco Kuba Gretzky.
La herramienta se conoce como evilginx, y hace posible el phishing incluso cuando el objetivo usa autenticación de dos factores. Básicamente es un ataque man-in-the-middle, pero usa proxy_pass y sub_filter para modificar y capturar el tráfico HTTP. Requiere un servidor HTTP Nginx y cierta familiaridad con Debian Linux.
Muchas personas tienen la experiencia necesaria para hacerlo.
Puede obtener un resumen técnico completo de evilginx en el sitio de Gretzky , pero Mitnick tiene una demostración en vídeo del funcionamiento de la herramienta en acción ( a continuación). Utiliza LinkedIn como ejemplo, pero podría usarse en Google, Facebook y cualquier otra cosa que utilice el inicio de sesión estándar de dos factores.
El ataque comienza de la misma manera que todos los ataques de phishing, con un correo electrónico ingeniosamente diseñado. Tienes que convencer al objetivo para que haga clic en un enlace que carga tu sitio, que se enmascara como la página que tu objetivo espera. En este caso, es LinkedIn.
Robar un nombre de usuario y una contraseña como esta es simple porque no cambian. Un código de dos factores cambia cada pocos segundos, por lo que tomar eso de tu página falsa no tiene sentido. Usando evilginx, Mitnick muestra cómo la página no captura el código 2FA sino la cookie de sesión. Eso identifica al usuario en un sitio, lo que le permite al atacante saltar a su cuenta de inmediato.
Mitnick continúa para mostrar cómo puede cargar la cookie de sesión manualmente a través de la consola de desarrollador de Chrome, que solo lleva unos pocos clics. Entonces, todo lo que necesita hacer es volver a cargar la página, y LinkedIn muestra la sesión iniciada. No necesita ingresar un nombre de usuario, contraseña o incluso el código 2FA.
Gretzky ha publicado el código para su hack 2FA en GitHub, por lo que todos tienen acceso a él. Eso significa que las personas podrían intentar usarlo con fines de phishing, pero los investigadores de seguridad y los educadores también pueden ayudar a proteger a los usuarios. Simplemente va a mostrarte; incluso la autenticación de dos factores no lo protegerá de sus propias malas decisiones.
Con info: extremetech.com