Доброе время суток, уважаемые форумчане! Сегодня я вам расскажу о довольно лёгком способе обойти двухфакторную аутентификацию, Уже очень давно в интернете говорят о том, что двухфакторная аутентификация наиболее безопасна, и о том что ее сложно обойти, но это не так. Наверное все знают что большая уязвимость в нынешней системе это человеческий фактор.Так как не нужно использовать эксплойты, и искать различные уязвимости техники. В этой статье я расскажу о том, как обойти двухфакторную аутентификацию с помощью инструмента “Modlishka”, Этот инструмент должен быть очень полезен для тех кто проводит тесты на проникновение, для тех кто хочет провести хорошую фишинговую атаку.
Обход двухфакторной аутентификации
1)Скачивание инструмента
$ go get -u github.com/drk1wi/Modlishka $ cd $GOPATH/src/github.com/drk1wi/Modlishka/
2) Настройка плагина “autocert”
Производить настройку нужно только если вы хотите провести фишинговую атаку по доверенному каналу браузера TLS
как создать двухфакторную аутентификацию страницы в ВК
$ openssl genrsa -out MyRootCA.key 2048` $ openssl req -x509 -new -nodes -key MyRootCA.key -sha256 -days 1024 -out MyRootCA.pem
Замените переменную const CA_CERT содержимым файла MyRootCA.pem, а const CA_CERT_KEY содержимым MyRootCA.key в файле который находится по пути plugin/autocert.go.
3) Скомпилируйте и запустите тестовую конфигурацию “Modlishka”
$ make $ sudo ./dist/proxy -config templates/google.com_gsuite.json
Данная ссылка может быть использована для просмотра запущенной тестовой страницы. Вы можете заметить, как параметр « ident » скрыт от пользователя при первом запросе:
Ссылка скрыта от гостей
Собранные учетные данные жертвы можно найти в файле ‘log’ или с помощью одного из включенных плагинов:
4) Настройте свои параметры
Если вам нравится инструмент. Вы можете начать настройку конфигурации для выбранного вами домена. Модлишка может быть легко настроена с помощью набора доступных параметров командной строки или файлов конфигурации JSON.
Итог
Вы наверное думаете что двухфакторная авторизация сломалась?
Нет, но с правильным обратным прокси-сервером, нацеленным на ваш домен по зашифрованному каналу связи, которому доверяет браузер, взаправду можно не заметить, что что-то не так.
Если учесть отсутствие осведомленности пользователей, это означает, что вы отдаете свои ценные активы.
В конце концов, даже сложные системы защиты безопасности могут выйти из строя, если не будет достаточной осведомленности пользователей и наоборот.
В данный момент единственный способ решения этой проблемы с технической точки зрения — полностью полагаться на аппаратные токены двухфакторной аутентификации, основанные на протоколе U2F . Вы можете легко купить их онлайн. Однако не стоит забывать, что правильная осведомленность пользователей не менее важна.
КАК ВЗЛОМАТЬ ВК В 2021? КАК ВЗЛОМАТЬ ИНСТАГРАМ В 2021? МЕТОДЫ И СХЕМЫ ВЗЛОМА VK и INSTAGRAM!
Немножко советов:
1)используйте аппаратные токены U2F в качестве второго фактора аутентификации.
2)используйте менеджеры паролей, которые будут проверять правильность имени домена в вашем браузере, прежде чем вставлять пароль.
3)постоянно повышать осведомленность пользователей о нынешних методах социальной инженерии.
Мне кажется, что без рабочего доказательства концепции, которая на самом деле доказывает эту точку зрения, риск рассматривается как теоретический, и никаких мер для надлежащего решения не предпринимается. отсутствие правильной осведомленности о риске является подходящей ситуацией для злоумышленников, которые с радостью воспользуются ей.
P.S. Я не призываю проводить фишинговые атаки против компаний. Но чтобы вы были осведомлены о риске, использую один популярный сервис в качестве доказательства концепции.
На этом всё, спасибо за уделенное внимание, и драгоценные минуты времени. Удачи!
Источник: codeby.net
Как вспомнить пароль от вк если стоит двухэтапная аутентификация?
У меня возникла проблема, и вот уже 20 дней я никак не могу ее рншить. У меня Вконтакте есть анонимная( фейк) страница под другим именем и фамилией( я пользуюсь ей чтоб никто не доставал), но дело в том что я подключила к ней двухэтапную аутентификацию, а пароль забыла напрочь(!) , после сброса настроек телефона.
Из за того что я подключила двухэтапную аутентификацию, я не могу восстановить доступ к своей фейк странице обычным способом, когда забываешь пароль. Администрация просит прислать мое настоящее фото на фоне заявки на восстановление доступа!
Но я не могу этого сделать, так как у меня есть Вконтакте и настоящая страница с моими фотографиями, я не могу допустить чтоб администрация Вк узнала что это моя фейк страница, т к они могут ее заблокировать, т.к две и более страниц на одного человека иметь запрещено! Неужели нет другого выхода, чтоб восстановить доступ ( если забыла напрочь пароль) от фейк страницы к которой я подключила ранее двухэтапную аутентификацию? Я где только не искала в интернете информацию: ГДЕ МОЖНО НАЙТИ СОХРАНЕННЫЕ РАНЕЕ ПАРОЛИ, НО НИЧЕГО НЕ НАШЛА. ДАЖЕ В МОЕМ АККАУНТЕ ГУГЛА НЕТ ЕГО, Т.К ПОЛЬЗУЮСЬ ПРИЛОЖЕНИЕМ Kate mobile для Вконтакте, где можно создавать и переключаться на разные аккаунты, созданные мной. Помогите мне пожалуйста . С уважением Елена Калашникова
Источник: yandex.ru