CVV深入知识的讲解:破解2FA双因素

过去,当网站通过HTTP并且没有人真正考虑安全性时,使用凭据捕获流量是一件容易的事。然后流量被加密,那么道高一尺魔高一丈来欺骗和重定向路由。“双因素身份验证”最终解决了这个问题,但这完全与实施的细节有关。

双因素身份验证方法是作为验证帐户持有人的另一种方法而发明的。它基于多种身份验证方法:

用户知道一些事情(例如,可以回答他母亲的娘家姓或他的第一只宠物的名字);

用户具有可以数字化和比较的独特特征(生物识别身份验证);

用户拥有具有唯一标识符的设备(例如,手机号码,带有密钥文件的闪存驱动器)。

通过控制问题恢复密码时仍然会遇到第一种方法。它不适合常规使用,因为答案不会改变,很容易妥协。第二种方法通常用于保护移动设备上的数据,并对服务器上的客户端应用程序进行身份验证。

最流行的2FA方法是第三种。它是一条短信,其中包含使用OTP技术生成的验证码。代码每

次都不同,因此几乎不可能猜到它。

然而,通过技术方法克服保护越困难,通过社会工程就越容易做到这一点。

每个人都对双因素身份验证充满信心,以至于他们将其用于最关键的操作 – 从在Google授权(这意味着立即访问电子邮件,磁盘,联系人和云中存储的所有历史记录)到客户银行系统。

使用Modlishka破解双因素身份验证

2019年初,莫德利什卡反向代理出现在公共领域。

如果将其与相同的SEToolkit(内置于几乎所有流行的Pentest发行版中)进行比较,区别在于:SET克隆并将授权页面放在本地服务器上。这一切都基于拦截受害者输入凭据的脚本的操作。当然,您可以设置重定向到原始站点,但是从受害者到您的服务器的流量将未加密。从本质上讲,此类程序充当带有虚假(网络钓鱼)站点的 Web 服务器。

卡的行为不同生成自己的证书,该证书加密从受害者到我们服务器的连接(以免被抓住)。然后这台机器充当反向代理。

换句话说,所有流量都通过我们服务器上的实例流向原始站点。黑客保留凭据并捕获受害者的授权会话。一种经典的 MITM 攻击,之前是网络钓鱼(您必须以某种方式让受害者安装假证书并将他们定向到假站点)。

练习!

请登录后发表评论

    没有回复内容