Иранские фишеры обошли 2ФА защиту Yahoo Mail и Gmail

Фишеры взломали учётные записи с подтверждением входа по СМС, а также тестируют атаки на 2ФА приложения.

По заявлению исследователей, недавно прошедшая волна фишинг-атак, нацеленных на американских чиновников, активистов и журналистов, отметилась использованием техники, которая позволила атакующим обойти двухфакторную аутентификацию онлайн-сервисов, таких как Gmail и Yahoo Mail. Данные события подчёркивают уязвимость 2ФА, которая основывается на одноразовых паролях, особенно если их источником являются СМС.

Хакеры на службе иранского правительства собирали подробную информацию о целях, затем использовали её для написания индивидуализированных электронных писем, содержание которых было подогнано под уровень оперативной безопасности их жертв, заявляют в своём блоге исследователи из фирмы Certfa Labs. Письма содержали скрытое изображение, которое уведомляло атакующих в реальном времени, в момент, когда получатель просматривал почту. В момент, когда жертвы вводили пароли на поддельных страницах входа Gmail или Yahoo, атакующие могли почти мгновенно вводить полученные учётные данные на настоящих страницах входа онлайн-сервисов. В данном случае, учётные записи пользователей были защищены 2ФА, атакующие же перенаправляли своих жертв на новую страницу, с требованием ввести одноразовый пароль.

«Другими словами, они в реальном времени получали на свои сервера имена и пароли пользователей, и даже в случае, если у пользователей была включена двухфакторная аутентификация в виде СМС, приложений для генерации одноразовых паролей и мгновенных логинов, они были способны получать и эту информацию», — пишут исследователи Certfa Lab.

В переписке, представитель Certfa заявил, что исследователи компании подтвердили факт взлома учётных записей с 2ФА на базе СМС. Однако, исследователи не подтвердили, удалось ли фишерам, применявшим данную технику, обойти 2ФА на базе одноразовых паролей, генерируемых мобильными приложениями, такими как Google Authenticator или Duo. «Мы заметили попытки обойти 2ФА Google Authenticator, но мы не уверены, удалось ли им это или нет», — пишет представитель Certfa. «На данный момент нам известно наверняка, что хакеры обошли 2ФА при помощи СМС.»

Одноразовые пароли уязвимы к фишингу, а ключи безопасности — нет

В теории, остаётся мало причин, по которым вышеописанная техника взлома не должна сработать против Google Authenticator и подобных 2ФА приложений, которые либо генерируют одноразовые пароли, либо предлагают нажать на кнопку, для подтверждения входа. Как только пользователь, ставший жертвой фишинга, вводит пароль на странице, которую он принимает за настоящую страницу Gmail или Yahoo Mail, он либо откроет приложение для 2ФА, как это было предложено в поддельной странице входа, либо получит push-нотификацию от приложения на телефоне. Если пользователь введёт ответ в течении отведённого на аутентификацию времени (обычно около 30 сек.), атакующий получит доступ к учётной записи. Единственное, что даёт 2ФА в данном случае, это дополнительное действие на пути хакера к получению контроля.

Заметным исключением, при котором данная техника не сработает, является использование 2ФА на основе аппаратных ключей безопасности. Данные ключи соединяются с компьютером по USB, или через Bluetooth или NFC с телефоном. Gmail и другие учётные записи Google имеют возможность работы с ключами с поддержкой U2F — стандарта, разработанного промышленным консорциумом известным как FIDO Alliance. В течении двух лет исследований при участии 50 тыс. сотрудников Google, специалисты пришли к выводу, что ключи безопасности превосходят смартфоны и большинство остальных видов двухфакторной аутентификации, как по уровню безопасности, так и по простоте использования.

Также, Google предлагает программу Дополнительная защита, которая предполагает использование аппаратных ключей в качестве единственного метода 2ФА с учётными записями Gmail и других онлайн-сервисов от Google. Если организации могут быть не готовы к принятию таких радикальных шагов по обеспечению безопасности, то рядовым пользователям следует задуматься об использовании аппаратных ключей везде, где это возможно, даже если 2ФА на основе приложений по прежнему остаётся запасным методом аутентификации. Цель данной стратегии научить пользователей относиться с подозрением к сообщениям, если сайт, на котором выполняется вход, вдруг начинает требовать одноразовый пароль вместо ключа безопасности, используемого по умолчанию.

Описанная Certfa фишинговая кампания была эффективной также по ряду причин, не относящихся к обходу 2ФА. Например, они размещали вредоносные страницы на хостинге sites.google.com, а отправляемые письма приходили с адресов подобных к notifications.mailservices@gmail.com и noreply.customermails@gmail.com, чтобы придать им официальный вид, так как будто они были отправлены непосредственно службами Google.

Также, фишеры выделили более чем 20 разных интернет доменов, чтобы лучше соответствовать техническим особенностям и предпочтениям пользователей, на которых были нацелены атаки. Certfa заявила, что домены и IP-адреса, использовавшиеся в фишинг атаках, ведут к группировке «Charming Kitten» — хакерам, ранее связанным с иранским правительством. Предыдущая волна атак началась в начале ноября, за пару недель до того, как США снова ввели санкции против иранского правительства. Фишинг был направлен на частных лиц, задействованных в введении санкций, а также политиков, общественных активистов и борцов за права человека по всему миру.

Согласно статье от Associated Press, среди целей были известные правозащитники, критики, гаранты исполнения договоренности между Вашингтоном и Тегераном о ядерном оружии, учёные ядерщики, иранские гражданские деятели, сотрудники аналитического центра в Вашингтоне, и более чем десяток чиновников из казначейства США.


Пер. с англ., оригинал статьи ArsTechnica, автор Dan Goodin.