Domanda:
L'attaccante aggira la 2FA. Come difendersi?
TheJulyPlot
2017-06-07 20:08:39 UTC
view on stackexchange narkive permalink

Descritto nell'ultimo dump della NSA è un metodo presumibilmente utilizzato dall'intelligence russa per aggirare la 2FA. (In questo caso Google 2FA con il secondo fattore è un codice.)

È uno schema abbastanza ovvio e sono sicuro che debba essere utilizzato regolarmente. Sembra funzionare in questo modo:

  1. L'URL viene inviato al target tramite spear phishing, l'URL punta al sito Web di phishing controllato da un attacco che assomiglia a Google Gmail.
  2. L'utente invia le credenziali al Gmail fasullo.
  3. (Presupposto) L'aggressore inserisce le credenziali in Gmail legittimo e controlla se è necessario un secondo fattore.
  4. Il target riceve un secondo fattore legittimo.
  5. Il sito di Gmail richiede come target il secondo fattore. Il bersaglio invia il secondo fattore.
  6. L'aggressore inserisce il secondo fattore nel sito legittimo e si autentica correttamente.

L'unico modo che posso vedere per difendermi da questo attacco è individuare il falso sito come truffa o che blocca il sito di phishing tramite FW, informazioni sulle minacce, ecc.

Esiste un altro modo pratico per difendersi da un tale schema?

enter image description here

Come nota, questo darà solo l'accesso all'attaccante * questa volta *, poiché il codice intercettato scade dopo pochi secondi.
@XiongChiamiov Bene, presumibilmente il primo passo dopo aver ottenuto l'accesso è disabilitare 2FA
Se uno fornisce le proprie password, non c'è nulla che il sito stesso possa fare.Forse Geolock, ma sarebbe un problema per le persone che viaggiano
@cat - non sempre un'opzione.Al lavoro, utilizziamo itglue.com per la documentazione, concesso in licenza tramite un altro fornitore di servizi e ai dipendenti è richiesto di utilizzare 2FA.Quelle persone che utilizzano 2FA non hanno accesso a nessuna opzione che disattivi quel comportamento.
@TOOGAM Oh, certo, penso più a Google e Yahoo e ai sistemi non interni (e sono pronto a scommettere che ci sono sistemi interni che ne consentono la disabilitazione)
@cat - solo per chiarire (e mi dispiace di aver tralasciato questo dettaglio; sarebbe stato più elegante se lo avessi fatto solo nel commento precedente), il sito Web che sto utilizzando mi fa utilizzare il programma Google Authenticater per l'implementazione2FA.Quindi stiamo usando il software di Google (anche se non il sito web di Google).
Smetti di leggere notizie false sugli "hack russi".
@Overmind Sono più interessato ai dettagli dello schema delineato, che ai presunti autori di tale schema.
Lo penso da un'altra angolazione, visto il contenuto del tuo post iniziale.Direi che una vulnerabilità in questo caso è il telefono.Se la posta in gioco è alta e hai investito nell'hardware necessario, tutto ciò che comunica con un telefono può essere intercettato in modo relativamente facile.Per gli utenti normali, la loro consapevolezza è importante.La formazione di base può impedire il phishing di URL.
Sono sorpreso che non sia ancora uscito: controlla quel maledetto lucchetto verde!Inserire la tua password su un sito non https dovrebbe essere la prima cosa che non farai mai!
@BgrWorker Ci sono tutte le possibilità che l'attaccante possa avere un certificato valido per il dominio fasullo.In realtà la risposta che sto cercando è in relazione alla parte 2FA, piuttosto che alle tecniche di rilevamento o prevenzione del phishing.
È qui che le smartcard diventano utili, poiché impediscono all'utente di divulgare il loro secondo segreto (la chiave privata lato client memorizzata sulla smartcard).Tuttavia, solo una piccola minoranza di paesi e aziende sembra utilizzarli.
Mi interessa sapere da dove proviene l'immagine _Top Secret_!(Anche se del testo è stato oscurato.) È generalmente considerato cortese attribuire le tue immagini, specialmente (beh, forse no) se sono contrassegnate come Top Secret.
@Freeman Fare clic sul collegamento.
Ah, grazie, @TheJulyPlot.Mi mancava quel piccolo (ma ovvio) dettaglio ...
Cordiali saluti, solo perché qualcosa è stato ottenuto da una pubblicazione o un media, non rimuove automaticamente la sua classificazione di classificazione!Quindi fai attenzione a ciò che pubblichi.
Se 2FA non funziona, è il momento di utilizzare 3FA (come password + token + impronta digitale).
Mi chiedo cosa sia successo alla pagina 2 di 2.
Sette risposte:
#1
+64
D.W.
2017-06-08 04:18:59 UTC
view on stackexchange narkive permalink

Non tutti gli schemi di autenticazione a due fattori sono uguali. Alcune forme di 2FA, come l'invio di un messaggio di testo, non sono sicure contro questo attacco. Altre forme di 2FA, come FIDO U2F, sono sicure contro questo attacco: sono state progettate deliberatamente con questo tipo di attacco in mente.

FIDO U2F fornisce due difese contro l'uomo-in-the- attacco medio:

  1. Registrazione - L'utente registra il proprio dispositivo U2F con un particolare sito web ("origine"), come google.com . Quindi il dispositivo U2F risponderà solo alle richieste di autenticazione da un'origine registrata; se l'utente viene indotto con l'inganno a visitare goog1e.com (un sito di phishing), l'U2F non risponderà alla richiesta, poiché può vedere che proviene da un sito che non ha registrato in precedenza con.

  2. ID canale e binding di origine - U2F utilizza l'estensione TLS Channel ID per prevenire attacchi man-in-the-middle e abilitare il dispositivo U2F per verificare che stia parlando con lo stesso sito web che l'utente sta visitando nel proprio browser web. Inoltre, il dispositivo U2F conosce l'origine con cui pensa di parlare e la sua risposta di autenticazione firmata include una firma sull'origine con cui pensa di parlare. Questo viene controllato dal server. Quindi, se l'utente è su goog1e.com e quella pagina richiede un'autenticazione U2F, la risposta del dispositivo U2F indica che la sua risposta è valida solo per la comunicazione con goog1e.com - se l'aggressore cerca di inoltrare questa risposta a google.com , Google può notare che qualcosa è andato storto, poiché nei dati firmati è presente il nome di dominio sbagliato.

Entrambe queste funzionalità implicano l'integrazione tra il dispositivo di autenticazione a due fattori U2F e il browser dell'utente. Questa integrazione consente al dispositivo di sapere quale nome di dominio (origine) sta visitando il browser e ciò consente al dispositivo di rilevare o prevenire attacchi di phishing e man-in-the-middle.

Ulteriori letture su questo meccanismo :

Molti token U2F non hanno una memoria persistente e non si preoccupano se sono stati precedentemente registrati per quel sito, quindi risponderanno ogni volta.Anche se ovviamente usano una coppia di chiavi diversa per ogni sito.
Sembra una grossa seccatura se stai cercando di accedere su uno smartphone o un tablet, o anche su una macchina che non si fida dell'USB (ad esempio un client).Cioè per molte situazioni l'effetto sull'usabilità è troppo grande
@ChrisH [YubiKey NEO] (https://www.yubico.com/products/yubikey-hardware/yubikey-neo/) è dual USB e NFC, che ti consente di utilizzare U2F su computer e dispositivi mobili.È abbastanza semplice su Android.(Sfortunatamente, il walled garden di Apple non supporta U2F su NFC ...)
@D.W.Credo che il punto di Yay295 sia che la tua risposta afferma che gli U2F sono progettati per difendersi da quell'attacco ma non spiega chiaramente * come *.Dici "il dispositivo U2F risponderà solo alle richieste di autenticazione da un'origine registrata", ma cosa impedisce al sito MITM dannoso di chiedere al sito ufficiale di effettuare la richiesta?
@jamesdlin Penso che il punto chiave sia che real.com deve essere aperto * nel browser dell'utente * per poter generare la chiave corretta, quindi il passaggio 3 di Yay295 non funziona.L'aggressore non può aprire una copia del sito sul proprio telefono, ma attivare il dispositivo crittografico sul telefono del bersaglio;e una chiave generata per fake.com dal telefono dell'obiettivo non sarà valida su real.com.Funziona perché esiste una comunicazione diretta tra il token crittografico e il browser.
@jamesdlin Spiega come però, al punto 2. "il dispositivo U2F sa con quale origine pensa di parlare e la sua risposta di autenticazione firmata include una firma sull'origine con cui pensa di parlare. Questo viene controllato dal server."Se ti autentichi a un sito di phishing con il dominio g00gle.com, il dispositivo U2F creerà una firma valida solo per g00gle.com.Il vero google.com non accetterà quella firma.
@Ajedi32 Quella parte ancora non spiega cosa impedisce al MITM di chiedere al sito reale di richiedere una chiave dal dispositivo U2F.Come fa il dispositivo U2F a sapere che il sito di phishing è coinvolto (cioè ciò che l'utente sta attualmente osservando)?La spiegazione di IMSoP secondo cui esiste una comunicazione diretta con il browser sembra essere la parte cruciale.
@jamesdlin Sì, immagino che a questa risposta manchino alcune informazioni introduttive su cosa sia l'U2F.L'idea di un utente malintenzionato "che chiede al sito reale di richiedere una chiave dal dispositivo U2F" è completamente priva di senso quando si parla di U2F, non solo perché non funzionerebbe, ma perché non è nemmeno possibile comunicare con il sito realeil dispositivo U2F dell'utente fuori banda in primo luogo.L'autenticazione U2F avviene interamente in banda.
#2
+47
Xander
2017-06-07 20:17:47 UTC
view on stackexchange narkive permalink

Fuori banda 2FA è l'approccio corretto. Ciò significa che hai un secondo fattore che non può essere phishing, come un certificato client o FIDO U2F. I codici o i modelli 2FA basati su SMS sono le opzioni 2FA più deboli perché sono in banda e, come hai descritto, possono essere phishing proprio come le credenziali.

Sono convenienti perché possono essere utilizzati da quasi chiunque, e sono certamente meglio di niente, ma la sicurezza che forniscono non dovrebbe mai essere confusa con la sicurezza fornita dalla 2FA fuori banda.

Non sono sicuro che "Out of band 2FA" sia davvero il termine che stai cercando qui.Gli schemi 2FA basati su TOTP e SMS _ sono_ fuori banda, per definizione.Semplicemente non sono resistenti al phishing perché non si integrano con il browser dell'utente come fanno U2F e i certificati client.
L'attacco coinvolge effettivamente l'utente legittimo che consegna * tutte * le credenziali all'aggressore.In che modo "fuori banda 2FA" aiuta?Stai parlando di qualcosa che convalida automaticamente a chi l'utente sta fornendo quelle credenziali?Potresti approfondire, per favore?
Penso che la terminologia corretta non sarebbe fuori banda ma qualcosa che non può essere MITM.Il certificato del cliente si qualifica di sicuro, non so se FIDO sia sicuro contro questo.
L'attacco funziona solo perché il secondo fattore viene inviato tramite lo stesso canale (la falsa pagina Gmail).Se il secondo fattore viene inviato veramente fuori banda, diciamo, da un telefono direttamente a un sito Web preimpostato (il sito reale), questo mitiga l'attacco.Ho spesso pensato che questo è il modo in cui le app 2FA dovrebbero funzionare davvero, piuttosto che convincere gli utenti a digitare numeri nella stessa pagina di accesso.
Proprio come sottolinea @adelphus, quando si utilizzano meccanismi come SMS e l'autenticatore TOTP di Google, mentre forniscono effettivamente il codice fuori banda, viene inviato in banda, esattamente come una password.Questo è ciò che porta alla vulnerabilità.
@jpmc26 Un meccanismo MFA completamente fuori banda aiuta a eliminare la capacità di un utente malintenzionato di acquisire il fattore aggiuntivo e riutilizzarlo.Per un altro esempio, il sistema di autenticazione basato sul telefono, in cui, dopo aver inserito il nome utente e la password corretti, il sistema mi chiama su un numero di telefono che ho registrato.Rispondo e se inserisco il PIN corretto durante la telefonata, vengo autenticato.Non inserisco il secondo fattore direttamente nel sistema, quindi non può essere catturato da qualcuno che impersona il sistema.
@Xander Non vedo quanto sia importante il canale attraverso il quale viene inviato il secondo fattore.Se non ti accorgi di essere su un sito fasullo, risponderai felicemente alla telefonata e fornirai il tuo PIN.Questo è il sistema utilizzato dalla mia banca (tranne per il fatto che è una finestra di dialogo "Inserisci PIN" sul telefono piuttosto che una telefonata effettiva).Se sbaglio l'indirizzo della banca, il sito fasullo può accedere alla banca reale per mio conto e attivare la 2FA, riceverò la finestra di dialogo come previsto e inserirò il mio PIN (fuori banda), quindi verrà fornito l'attaccanteaccesso.
Google ha una versione di 2FA in cui i suoi server inviano una notifica all'app Google sul tuo telefono.Apri l'app e premi un pulsante per autenticarti.Il secondo fattore non può essere MITM: ndr, ma questo non fermerebbe affatto l'attacco descritto in questa domanda.
@adelphus Quando si tratta di phishing, non importa se l'attaccante può MITM l'autenticazione del secondo fattore o meno.Se l'aggressore avvia una richiesta di accesso alla tua banca e tu autorizzi quella sessione di accesso (indipendentemente dal fatto che l'autorizzazione avvenga fuori banda), l'attaccante _ avrà_ accesso al tuo account.I certificati U2F e client non sono vulnerabili a questo attacco, ma _non_ perché sono fuori banda.In effetti, con entrambi questi schemi il processo di autenticazione avviene effettivamente in banda.
Il 2FA di Blizzard sarebbe un esempio di autenticatore fuori banda?È un'app per telefono, ma il sito invia una notifica al telefono, che fa apparire una finestra di dialogo che richiede se desideri approvare l'accesso e devi fare clic su "sì" nel prompt, che quindi autentica la tua sessione web.
@DoktorJ Sì, è fuori banda.Tuttavia è ancora vulnerabile al phishing;vedere gli altri commenti votati su questa risposta.
@Ajedi32 Il mio male.Avrei dovuto rendermi conto che il secondo fattore funziona solo se può essere abbinato alla sessione del browser dell'utente.Il fattore non ha davvero bisogno di convalidarti (è a questo che serve la tua password): deve convalidare * la cosa in cui stai digitando le tue credenziali *.Grazie per la spiegazione.
#3
+14
Ferrybig
2017-06-08 11:18:14 UTC
view on stackexchange narkive permalink

Questa è una delle situazioni in cui un gestore di password (nel browser) ti aiuterà.

Poiché un gestore di password memorizza le password in base al loro vero URL, non verrà compilato automaticamente nella pagina dell'aggressore, o addirittura dare suggerimenti. Oltre a non far trapelare il token della password in 2 passaggi, protegge anche la password dalla fuga.

Questa protezione funziona anche meglio se l'utente non conosce la propria password e può interagire solo tramite il gestore di password per inserire la password.

Non credo di aver visto molti gestori di password che in realtà _know_ quale URL viene mostrato (molto meno cose come lo stato del certificato TLS).
Google Smart Lock e Google Chrome Extension Lastpass lo fanno entrambi per me
Anche KeePass, utilizzando i componenti aggiuntivi PassIFox o ChromeIPass, fa questo.Compila automaticamente le password se l'URL corrisponde.
e anche 1 password :-)
Sebbene questa non sia una soluzione perfetta al 100% (si basa comunque sull'intelligenza dell'utente), è un ottimo modo per avvisare immediatamente l'utente che sta succedendo qualcosa di strano.Sicuramente un grande miglioramento.+1
Non intendi "sta succedendo qualcosa di phishing"?
Poiché ciò richiede un browser che esegue la compilazione automatica, questo preclude la navigazione in modalità ospite?
#4
+9
Tim X
2017-06-09 07:13:40 UTC
view on stackexchange narkive permalink

La conclusione è che se un utente malintenzionato può indurti a fornire tutte le credenziali, il gioco finisce. Non importa il numero di fattori coinvolti. Ci sono cose che possono aiutare a limitare l'esposizione, come timeout molto brevi per i token che rendono difficile per un attaccante ottenere e riutilizzare il token entro il limite di tempo. Tuttavia, i timeout hanno una protezione limitata poiché ottenere il giusto equilibrio può essere difficile, specialmente con 2FA `` falsi '', che è diventato così diffuso e dove devi consentire ritardi di cose come la consegna di SMS per prevenire problemi di usabilità (ho visto questo utilizzo internazionale servizi basati sui quali la consegna dell'SMS può essere più lenta e il token scade prima che tu possa riceverlo e inserirlo nel browser).

Molti dei sistemi chiamati 2FA non sono affatto 2FA - in realtà lo sono 2SA (autenticazione in due passaggi). Nella 2FA reale, i fattori sono qualcosa che conosci (password) e qualcosa che hai (token, spesso basato su hardware). Gli schemi che implicano un codice inviato tramite SMS NON sono 2FA, sono 2SA - in realtà non hai il token - ti viene inviato. Poiché è qualcosa che ti viene inviato, ci sono nuovi vettori di minacce, come il reindirizzamento del numero di cellulare ecc. Questa è una delle ragioni per cui il NIST ha deprecato i token basati su SMS come processo di autenticazione affidabile.

Con rispetto. alla domanda specifica dei PO, l'unica protezione affidabile è quella di poter rilevare la pagina di phishing. Google ha rilasciato un'estensione di Chrome per provare ad aiutare con questo. L'estensione ti avviserà se rileva che stai fornendo le tue credenziali Google a una pagina che non è una pagina Google.

Il grosso problema è che abbiamo passato anni a insegnare alle persone a cercare il "lucchetto verde" negli URL per garantire che la pagina sia legittima. Sfortunatamente, sforzi come Lets Encrypt hanno ora reso facile ottenere certificati verificati dal dominio, quindi molte di queste pagine di phishing ora avranno il lucchetto verde. Questo non vuol dire che il problema sia dovuto a Lets Encrypt: questa è un'ottima iniziativa. Il problema è in parte dovuto alle debolezze dell'infrastruttura PKI, ma principalmente alla consapevolezza e alla comprensione degli utenti. In generale, le persone non capiscono PKI e come verificare che un certificato sia legittimo per il sito e che il sito sia il sito che pensano che sia. A peggiorare le cose, anche se capisci, i passaggi / il tempo necessari per eseguire tale verifica sono spesso scomodi o semplicemente troppo difficili, quindi le persone non lo fanno. La situazione è peggiorata dai cattivi attori della mannaia che trovano il modo di far sembrare le cose legittime: ad esempio, un recente exploit utilizza punti deboli nel modo in cui i browser visualizzano gli URL ei caratteri Unicode per generare un URL che viene visualizzato nella barra degli indirizzi in un modo che a lo sguardo sembra corretto, ma i caratteri effettivi nell'URL specificano un sito di phishing. L'utente guarda la barra degli indirizzi, vede un lucchetto verde e guarda l'URL che sembra corretto (il tuo cervello riempirà anche le cose per rendere migliore la corrispondenza!) E accetta la pagina come legittima. Non noti alcuno spazio bianco aggiuntivo tra i caratteri o forme di carattere dall'aspetto leggermente strano.

Allora come ci proteggiamo da questo. Sfortunatamente, non esiste un unico "fai questo e sarai al sicuro". Alcuni gestori di password possono essere d'aiuto in quanto forniranno le credenziali solo se l'URL è corretto, non utilizzare mai URL nei messaggi di posta elettronica: digitateli sempre da soli o utilizzate un segnalibro creato da voi. presumi che a un certo punto sarai ingannato e adotterai pratiche che limiteranno il danno quando si verifica cioè password diverse per ogni sito, usa 2FA basato su hardware quando possibile, in realtà fai clic sul pulsante dei dettagli del certificato per i siti "di alto valore" e guarda cosa dice e a chi è registrato il certificato, assicurati che il tuo sistema abbia tutti gli aggiornamenti e utilizzi la versione del browser più recente ecc., Sii sospettoso per natura e ricorda che la grande minaccia è l'ingegneria sociale, quindi fai molta attenzione a tutto ciò che fa pressione di agire in base alla paura, alla colpa, ai premi o alla punizione. Questi sono motivatori molto efficaci e gli attori delle minacce fanno affidamento su di loro. Le campagne di phishing sono diventate molto più sofisticate nella loro implementazione, ma fondamentalmente si basano ancora sulla manipolazione emotiva: una promessa di qualcosa di meraviglioso o una minaccia di qualcosa di terribile.

Infine, se sei tentato di commentare a causa della mia menzione di gestori di password, per favore non farlo. Sì, ci sono rischi con i gestori di password e sì, alcuni sono peggiori di altri. Tuttavia, in generale, un buon gestore di password utilizzato correttamente di solito fornirà una maggiore protezione per l'utente medio rispetto al loro attuale processo di gestione delle password. Sì, se il gestore delle password viene compromesso, tutte le tue password vengono compromesse. Tuttavia, molte persone trovano la gestione delle password troppo difficile e utilizzano comunque la stessa password, spesso debole, su ogni sito. Una volta che un sito viene compromesso, tutti i relativi siti vengono compromessi. Ovviamente, se comprendi la tecnologia e comprendi password, hashing, ecc., Probabilmente puoi trovare una soluzione più sicura, ma non sei il pubblico dei gestori di password. Pensa a come i tuoi genitori o nonni affrontano la gestione delle password e quanto bene individuano i siti di phishing o comprendono i certificati, quindi pensa a quanto facilmente possono gestire la tua gestione delle password basata su GPG personalizzata tramite cfile o sincronizzazione.

MODIFICA : Nel rileggere la mia risposta, non sono sicuro di aver sottolineato abbastanza che il vero 2FA è sempre più disponibile e molti dei provider che attualmente supportano il 2SA meno sicuro con codici SMS supportano anche 2FA molto più sicuro, in molti casi utilizzando U2F ( come menzionato in altre risposte). I "tasti" hardware di Yubico o duo (e altri) sono economici e facili da configurare / utilizzare. La mia unica raccomandazione è che se decidi di seguire il percorso token / chiave hardware, assicurati di ottenere due chiavi, registrale entrambe e metti via una chiave in un luogo sicuro. Ne ho uno che porto con me e uno che tengo in una cassaforte a casa. Il ripristino da una chiave persa / danneggiata non è facile come recuperare da una password dimenticata, quindi è meglio evitare di entrare in quella situazione per quanto possibile.

[Cleaver] (https://en.wikipedia.org/wiki/Cleaver) i cattivi attori non phishing le password, lavorano su film di terrore / commedia di grado C (omg [Butcher] (http: //diablo.wikia.com / wiki / The_Butcher) si è appena tolto la mano).XD
Cleaver LOL.Lascio quell'errore di battitura.Penso che dovremmo definire un nuovo termine "attore mannaia" aka "cattivo attore intelligente"
Nella 2FA basata su SMS, "quello che hai" è una carta SIM.
No, non proprio.La carta SIM è irrilevante in quanto non fa parte dell'autenticazione.Ancora peggio è che è banale usare un po 'di ingegneria sociale per reindirizzare i messaggi SMS a un altro numero (una scheda SIM diversa), che è esattamente il modo in cui hanno funzionato alcuni degli hack più pubblicizzati del 2FA basato su SMS.Per un vero 2FA, il secondo fattore deve essere qualcosa che hai e utilizzato direttamente nel processo di autenticazione.La carta SIM è secondaria a questo processo.
@TimX Non potresti sostenere altrettanto facilmente che TOTP non è "quello che hai", perché un attaccante potrebbe plausibilmente clonare il seme dal tuo telefono?Solo perché la 2FA basata su SMS è debole contro alcuni attacchi di ingegneria sociale / canale laterale non significa che non sia affatto 2FA.
@ajedi32 la differenza è che il codice SMS non si basa su tutto ciò che hai.Il codice non è derivato solo dai dati che hai, quindi non è 2FA.È solo un secondo passaggio di autenticazione: il codice è completamente determinato dal servizio a cui stai accedendo.In 2FA il secondo fattore è qualcosa che hai o derivato da qualcosa che hai.I codici SMS semplici non si basano su qualcosa che hai e quindi non sono 2FA per definizione.Molti dei punti deboli associati ai codici SMS sono perché non si basa su qualcosa che hai ed è per questo che il NIST li ha deprecati.
#5
+2
djsmiley2kStaysInside
2017-06-08 17:19:44 UTC
view on stackexchange narkive permalink

Come sottolineato nei commenti, questo non è un buon modo per fare le cose.

Invertire completamente il test.

In questo caso ti fidi che il telefono cellulare dell'utente sia "sicuro", quindi usalo per autenticarlo. Quando l'utente tenta di accedere al sito Web, si solleva una richiesta per telefono affinché accetti questo accesso (tramite notifica push idealmente direttamente all'applicazione, non sms o e-mail poiché possono essere facilmente violati). "Sembra che tu stia effettuando l'accesso da IP x.y.z / geolocalizzazione foobar - desideri continuare?"

Inoltre, puoi chiedere loro di fornire un certificato che esiste sul telefono, ma non sul computer. In questo modo l '"attaccante" non può accedere a queste informazioni semplicemente riuscendo a reindirizzare l'utente al sito sbagliato.

Non funzionerà.L'utente vedrà "Sembra che tu stia effettuando l'accesso da IP xyz / geolocalizzazione foobar" e crederà che _loro_ abbia avviato quella richiesta, dal momento che stanno attualmente tentando di accedere a quello che _pensano_ sia il sito legittimo quando in realtà si tratta di un sito di phishing.Una volta approvata la richiesta di accesso, l'aggressore avrà accesso al proprio account.
Ah sì, buon punto.Hmm.Torna al tavolo da disegno !:) Lasciando questo qui come una "cattiva" risposta
Non so, se fornisci le informazioni di geolocalizzazione e viene visualizzato "Sembra che tu stia effettuando l'accesso da IP x.y.z / Onestia, Romania" e sei seduto alla tua scrivania in Anytown USA, questo solleverà una bandiera rossa.Sarà strano per le persone che utilizzano proxy aziendali (ad esempio, dove lavoro, il mio IP viene visualizzato in Virginia mentre vivo / lavoro in MA) ma dovrebbe essere più facile da capire poiché la maggior parte delle persone sa dove ha sede la propria azienda e andrà"Vabbè, lavoro per Acme che ha sede in Virginia, ecco perché pensa che io stia effettuando l'accesso da VA" (o un tecnofilo vicino potrebbe essere felice di farglielo notare)
@Ajedi32, Penso che il bit di geolocalizzazione sia ciò che lo rende praticabile, proprio come Doktor J. sottolinea sopra.
@DoktorJ Eh, dubito che affidarsi agli utenti per controllare la geolocalizzazione sarebbe più efficace che affidarsi a loro per controllare il dominio del sito in cui si trovano.Per non parlare del fatto che gli aggressori potrebbero facilmente falsificare la posizione visualizzata utilizzando un proxy o Tor.
Mi spiace, avrei dovuto sottolineare che la geolocalizzazione sarebbe stata parte del controllo in primo luogo.
#6
+1
John Wu
2017-06-12 14:35:28 UTC
view on stackexchange narkive permalink

Questo attacco è noto come phishing . Tutta la sicurezza del mondo non servirà a nulla se puoi ingannare un utente finale facendogli cedere volontariamente le credenziali.

Le mitigazioni contro il phishing includono:

  1. I server di posta elettronica possono ripulire le email alla ricerca di collegamenti a siti di phishing noti.

  2. I client di posta spesso disabilitano i collegamenti per impostazione predefinita e forniscono un avviso quando vengono abilitati.

  3. Gli utenti dovrebbero evitare di fare clic sui collegamenti trovati nelle e-mail. Spesso è più sicuro digitare l'indirizzo.

  4. Gli utenti non dovrebbero mai accedere a un sito sensibile (ad esempio un sito bancario) tramite un collegamento da qualsiasi luogo. Utilizza un segnalibro o digitalo.

  5. Contrariamente a una credenza comune, gli utenti dovrebbero utilizzare gestori di password per i siti sensibili. Un gestore di password non ti consentirà di fornire una password al sito sbagliato.

Tutti buoni punti.Questa domanda era più rivolta alla parte 2FA, tuttavia.
#7
  0
WBT
2017-06-25 02:15:45 UTC
view on stackexchange narkive permalink

Oltre alle altre risposte, questo tipo di attacco può essere ostacolato se il sito si autentica per l ' utente in modo che l'utente abbia l'abitudine di ottenere un segnale più forte che stanno immettendo le credenziali su una pagina autentica, anche se non utilizzano un gestore di password o non prestano la massima attenzione all'URL. Questa operazione viene in genere eseguita con una immagine di sicurezza selezionata dall'utente (da un ampio insieme di opzioni) più una stringa di testo impostata dall'utente. Viene presentato dopo l'inserimento del nome utente ma prima della password (che viene suddivisa in due pagine). Non è completamente infallibile (devi impedire agli aggressori di ottenere l'immagine / la stringa con una semplice richiesta in blocco), ma è progettato per contrastare il phishing e rende un po 'più difficile il phishing di successo. Se gli aggressori tentano di recuperare le immagini / stringhe di sicurezza, queste richieste possono anche dare al fornitore di servizi autentico un suggerimento che qualcosa non va e fornire alcune informazioni forensi sulla provenienza di tali richieste.

Che funzioni nella pratica o meno è una questione diversa e le prove di un documento del 2007 suggeriscono no, almeno per la maggior parte degli utenti.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...