Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Jak przełamać praktycznie dowolne 2FA? Zhackować konto korporacyjnego admina…

11 listopada 2021, 14:12 | W biegu | komentarzy 5

Ten krótki news to małe postscriptum do ataku na platformę Robinhood, który opisywaliśmy niedawno.

Jak donosi Vice, napastnik uzyskał za pomocą phishingu dostęp do konta pracownika mającego bardzo szerokie uprawnienia. W szczególności w panelu admina można było wykonywać rozmaite operacje na kontach użytkowników, w szczególności łatwo dostrzeżecie poniżej przycisk „Disable MFA”:

Można się zastanawiać czy konto admina nie miało 2FA/MFA? Być może miało, ale np. bazujące na SMSie. SMSy z kolei można przecież łatwo wykradać podstawioną stroną phishingową (podaj login, hasło i kod z SMS-a, …).

Nie zadziała phishing? Niektórzy (skutecznie) potrafią przekupić pracownika celowanej firmy – tak żeby przekazał stosowny dostęp. Taką historię opisywaliśmy w przypadku Roblox-a:

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. xela

    Moze moglibyscie pomoc nam zrozumiec jak dzialaja te ataki na konta bankowe, w ktorych wystarczy ze klikniesz w link, zeby pozbyc sie oszczednosci? Konkretnie, i Wasze przypuszczenia, analizy, etc. na ten temat? Kurde, glowie sie od dawna jak to dziala i kto przypuszczalnie mogl stworzyc takie narzedzie? Nasuwa sie odpowiedz, ze informatycy tworzacy systemy bankowe

    Odpowiedz
    • No najczęściej samo kliknięcie to nic nie daje. Ale jak po kliknięciu wpiszesz login/hasło/SMSa logującego do banku (na lewej stronie), to już widać gdzie to prowadzi :)

      Odpowiedz
      • AnalOrbis

        Czyli trzeba by po prostu debilem lub zakręconą ofiarą losu (może każdemu się zdarzyć, zachowuję tu trochę pokory).

        Odpowiedz
    • huh

      nie no to pewnie przypadek, jak wtedy co napadli jakiegoś dziadka, dokładnie wtedy gdy już wybrał oszczędności…

      Odpowiedz
  2. mm1k3

    odpowiedź „najczęściej (…)” sugeruje że istnieje (co najmniej jeden) taki przypadek, w którym samo kliknięcie (bez wpisywania czegokolwiek) może wystarczyć do utraty konta. Może o takich przypadkach coś napiszecie?

    Odpowiedz

Odpowiedz