Если в двухэтапной аутефикации Телеграма забыл пароль

Хакерский форумы изобилуют предложениями о взломе аккаунтов. В большинстве случаев атаки устраивают при помощи фишинга с подделкой страницы авторизации. Однако такой метод неэффективен, если пользователю приходит SMS с проверочным кодом. Я покажу, как хакеры обходят двухфакторную аутентификацию, на примере взлома аккаунта Google редактора сайта «www.spy-soft.net».

Экскурс в двухфакторную аутентификацию

Раньше, когда сайты работали по HTTP и о защите толком никто и не думал, перехват трафика с учетными данными был совсем простой задачей. Потом трафик стали шифровать, и злоумышленникам пришлось придумывать более изощренные способы подмены и перенаправления маршрутов. Казалось бы, двухфакторная аутентификация окончательно решила проблему, но все дело в деталях ее реализации.

Метод двухфакторной аутентификации (Two-Factor authentication) был придуман как дополнительный способ подтверждения владельца аккаунта. Он основан на нескольких способах аутентификации:

• пользователь что-то знает (например, может ответить, какая была девичья фамилия его матери или кличка первого домашнего питомца);
• пользователь обладает уникальными чертами, которые можно оцифровать и сравнить (биометрическая аутентификация);
• пользователь имеет девайс с уникальным идентификатором (например, номер мобильного, флешку с ключевым файлом).

Первый метод еще встречается при восстановлении паролей по контрольным вопросам. Для регулярного использования он не годится, так как ответы не меняются и могут быть легко скомпрометированы. Второй способ чаще применяется для защиты данных на мобильных гаджетах и для авторизации клиентских приложений на серверах.

Самый популярный метод 2FA — третий. Это SMS с проверочными кодами, генерируемыми по технологии OTP. Код приходит каждый раз разный, поэтому угадать его практически невозможно.

Однако чем сложнее преодолеть защиту техническими методами, тем легче бывает это сделать социальной инженерией. Все настолько уверены в надежности двухфакторной аутентификации, что используют ее для самых ответственных операций — от авторизации в Google (а это сразу доступ к почте, диску, контактам и всей хранимой в облаке истории) до систем клиент-банк.

При этом возможность обхода такой системы уже показывал австралийский исследователь Шабхэм Шах (Shubham Shah). Правда, его метод был довольно сложен в практической реализации. В нем использовалась авторизация по звонку, а не SMS, а предварительно нужно было узнать номер телефона жертвы и часть учетных данных. PoC был не особо убедительным, но наметил вектор атаки.

Взлом двухфакторной аутентификации с помощью Modlishka

В начале 2019 года польский исследователь Пётр Душиньский (Piotr Duszyński) выложил в открытом доступе реверс-прокси Modlishka. По его словам, этот инструмент может обойти двухфакторную аутентификацию, что мы сейчас и проверим.

Если сравнить его с тем же SEToolkit (он встроен практически во все популярные дистрибутивы для пентеста), то разница вот в чем: SET клонирует и размещает на локальном сервере страницу авторизации. Там все основано на работе скриптов, которые перехватывают вводимые учетные данные жертвы. Можно, конечно, настроить редирект на оригинальный сайт, но трафик от жертвы до вашего сервера будет незашифрованным. По сути, такого рода программы выступают в роли web-серверов с поддельным (фишинговым) сайтом.

Статья написана в образовательных целях. Цель статьи указать на недостатки двухфакторной аутентификации и указать вам на то, что это не панацея. Ни автор, ни редакция сайта «www.spy-soft.net» не несут ответственности за любой возможный вред, причиненный материалами данной статье.

Modlishka действует иначе. Генерируется свой сертификат, которым шифруется соединение от жертвы до нашего сервера (чтобы не палиться). Затем эта машина выступает в роли обратного прокси.

Другими словами, весь трафик идет на оригинальный сайт с инстанцией на нашем сервере. У хакера остаются учетные данные, и захватывается авторизованная сессия жертвы. Классическая MITM-атака, которую предваряет фишинг (нужно как-то заставить жертву установить поддельный сертификат и направить ее на фейковый сайт).

Стенд для обхода двухфакторной аутентификации

Давайте поднимем сервер с Modlishka внутри локальной машины. Я сделаю это на примере Kali Linux, но принципиальной разницы для других дистрибутивов не будет — разве что слегка изменится путь к исходникам Go.

Вначале ставим Go — на этом языке написан реверс-прокси, и без Go он не скомпилируется.

Источник: spy-soft.net

Более безопасный вход во все ваши аккаунты

От того, насколько уязвим ваш аккаунт ко взлому, зависит безопасность вашей личной информации.

В вашем аккаунте Google по умолчанию включены надежные средства защиты – они действуют и тогда, когда вы входите через него в другие приложения и сервисы. К примеру, мы всегда сообщаем вам, если кто-то пытается войти в него с незнакомого устройства.

ДИСПЕТЧЕР ПАРОЛЕЙ

Безопасные пароли для всех ваших аккаунтов

Надежные уникальные пароли помогают защитить вашу личную информацию. Однако большинство пользователей признаёт, что использует один и тот же простой пароль на разных сайтах. Это делает их данные уязвимыми. Диспетчер паролей поможет вам обезопасить свои аккаунты.

Автоматическое создание надежных паролей

Диспетчер паролей Google – это встроенный в Chrome и Android компонент, который безопасно сохраняет ваши пароли и подставляет их при повторном входе в онлайн-аккаунты.

Автоматические оповещения об угрозах

Каждый день миллионы имен пользователей и паролей попадают в открытый доступ. Мы отслеживаем такие утечки данных и автоматически оповещаем тех, чьи сохраненные пароли были украдены.

Быстрая смена паролей

Если аккаунт взломали, нужно как можно быстрее защитить его. Поэтому скоро в Chrome появится новая функция. Она будет оповещать пользователя о раскрытии пароля и позволять изменить его одним касанием с помощью Google Ассистента.

Двухэтапная аутентификация

Двухэтапная аутентификация – второй уровень защиты аккаунта

Пароли нередко взламывают. Один из лучших способов обезопасить свой аккаунт – добавить второй этап проверки. Такой способ входа – двухэтапная аутентификация – обеспечивает более надежную защиту ваших данных. Даже если злоумышленник узнает ваш пароль, он не сможет войти в аккаунт.

Вход с помощью телефона – просто и безопасно

Материальные средства для входа в онлайн-аккаунты, например мобильный телефон, гораздо надежнее пароля. Именно поэтому мы активно развиваем альтернативные способы аутентификации. Например, уведомления от Google позволяют входить в аккаунт одним нажатием.

Дополнительный уровень безопасности для вашего аккаунта

На мобильных устройствах также доступны новейшие технологии безопасности от Google, например электронные ключи на Android и приложение Google Smart Lock на iOS. Они делают вход в аккаунт ещё удобнее и безопаснее. Скоро мы начнем автоматически включать двухэтапную аутентификацию в аккаунтах, с которыми связан резервный номер телефона или адрес электронной почты. Чтобы убедиться, что ваш аккаунт защищен, пройдите проверку безопасности.

Источник: safety.google

Использование двухфакторной аутентификации для Apple ID на iPhone

Если Вы используете двухфакторную аутентификацию, только Вы можете получить доступ к своей учетной записи Apple ID, даже если кто-то еще узнает Ваш пароль. Когда эта функция включена, для входа в учетную запись Apple ID Вам нужно вводить и пароль, и шестизначный код проверки. Код проверки отправляется на номер телефона, привязанный к Вашему Apple ID, или выводится на экране доверенного устройства.

Двухфакторная аутентификация для Apple ID доступна в iOS 17, iPadOS 17, OS X 10.13 или новее.

Примечание. Некоторые учетные записи не поддерживают двухфакторную аутентификацию. Двухфакторная аутентификация доступна не во всех странах и регионах. Обратитесь к статье службы поддержки Apple Доступность двухфакторной аутентификации для идентификатора Apple ID.

Активация двухфакторной аутентификации

1. На iPhone откройте «Настройки» > [Ваше имя] > «Вход и безопасность».
2. Коснитесь «Включите двухфакторную аутентификацию», а затем коснитесь «Дальше».
3. Введите доверенный номер телефона (номер, который Вы используете для получения кодов проверки) и коснитесь «Дальше». Код проверки будет отправлен на доверенный номер.
4. Введите код проверки на iPhone. Двухфакторная аутентификация будет включена для Вашего Apple ID, и Ваш iPhone станет доверенным устройством.

Добавление другого доверенного устройства

После включения двухфакторной аутентификации на iPhone Вы можете добавить другие доверенные устройства в учетную запись Apple ID.

1. На устройстве, которое Вы хотите добавить, войдите с тем же Apple ID, который Вы использовали для включения двухфакторной аутентификации.
2. Когда появится запрос, введите шестизначный код проверки, который появится на Вашем iPhone, на другом доверенном устройстве, на компьютере Mac или будет отправлен по доверенному номеру телефона.
3. Введите код проверки на новом устройстве. Запрос на ввод кода на этом устройстве отобразится повторно только в том случае, если Вы полностью выйдете из своей учетной записи, удалите данные на устройстве, войдете на свою страницу учетной записи Apple ID в браузере или поменяете пароль Apple ID из соображений безопасности.

Примечание. На доверенном устройстве должна быть установлена iOS 17, iPadOS 17 или OS X 13 (или новее).

Добавление или удаление проверенного номера телефона

Наличие нескольких проверенных номеров удобно в том случае, если Вы хотите использовать двухфакторную аутентификацию, но у Вас нет доступа к тому телефону, который Вы добавили, когда включали эту функцию.

1. Откройте «Настройки» > [Ваше имя] > «Вход и безопасность», затем коснитесь параметра «Двухфакторная аутентификация».
2. Коснитесь «Изменить» (над списком проверенных номеров) и введите код-пароль от устройства, когда появится запрос.
3. Выполните одно из описанных ниже действий.
4. Добавление номера. Коснитесь «Добавить доверенный номер» и введите номер телефона.
5. Удаление номера. Коснитесь кнопки рядом с номером телефона.
6. Закончив вносить изменения, коснитесь «Готово».

Коды проверки не отправляются автоматически на все проверенные номера телефонов Если при настройке двухфакторной аутентификации на новом устройстве другие доверенные устройства недоступны, коснитесь «Не получили код проверки?» на новом устройстве, затем выберите нужный проверенный номер телефона для получения кода проверки.

Просмотр и удаление доверенных устройств

1. Выберите «Настройки» > [Ваше имя]. Список устройств, привязанных к Вашему Apple ID, отобразится в нижней части экрана.
2. Для удаления устройства коснитесь его, затем коснитесь «Удалить из учетной записи». Если удалить доверенное устройство, на нем больше не будут отображаться коды проверки, а доступ к iCloud (и другим сервисам Apple) на этом устройстве будет заблокирован. Чтобы снова добавить устройство, воспользуйтесь двухфакторной аутентификацией и выполните вход со своим Apple ID.

Создание пароля для приложения, которое подключается к Вашей учетной записи Apple ID

Чтобы войти в Вашу учетную запись Apple ID из стороннего приложения или службы (например, приложения для электронной почты, контактов или календаря) с использованием двухфакторной аутентификации, Вам необходимо создать уникальный пароль для приложения.

1. Войдите на свою учетную запись Apple ID.
2. Коснитесь параметра паролей для приложения, затем коснитесь «Создать пароль для приложения».
3. Следуйте инструкциям на экране.

После создания пароля для приложения, введите или вставьте его в поле пароля приложения как обычно.

Подробнее см. в статье Службы поддержки Apple Использование паролей для приложений.

Источник: support.apple.com