web-dev-qa-db-ja.com

2FAを持つGmailアカウントに対してフィッシングは効果がありませんか?

私の知識によると、フィッシングは基本的にメールIDとパスワードのみを盗みますよね?

6
Aeden Thomas

「フィッシング」とは、攻撃者が被害者が信頼する誰かになりすますオンラインソーシャルエンジニアリング攻撃の広義の用語です。フィッシング攻撃には多くの目標があります。基本的に、ユーザーがなりすましエンティティに代わってユーザーを説得できるすべてのもの。 2FAは特定の攻撃から保護し、2FAの一部の形式は他の形式よりも優れた保護を提供しますが、完全なソリューションではありません。

  • 攻撃者は資格情報を必要としています。ユーザーに、信頼できるサイトのように見えるWebフォームに資格情報を入力させます。アカウントに2FAがある場合、これだけでは攻撃者はアカウントにアクセスできませんが、「アカウントへのアクセス」を指定したことはなく、単に「資格情報」のみを指定しました。
  • 攻撃者はアカウントへのアクセスを望んでいます。信頼できるログインページを偽装し、キャプチャされた資格情報を使用してログインを同時に試行し(そしてユーザー向けのプロンプトを転送して)、ユーザーが予期される2FAの動作を確認してログインを承認するか、アクセスを入力します。コード。 (これはFIDO/U2Fでは機能しませんが、攻撃者はなりすましのログインページでセキュリティキーが機能していないため、被害者は別の認証方法を使用するように要求する可能性があります。)
  • 攻撃者はアカウントの内容(メールなど)へのアクセスを望んでいます:攻撃者が制御するアプリ(おそらく「Gmailプライバシー保護」などと呼ばれます)を承認するように被害者を説得し、ユーザーのメールボックス(この種類のメールにアクセスできます)アプリがGoogleドキュメントの統合をスプーフィングし、ワームとして自分自身を転送することで、攻撃の割合は3年未満になりました。
  • 攻撃者は被害者のブラウザを制御したいと考えています。被害者に「信頼できる」ソースからブラウザ拡張機能をインストールしてもらいます。
  • 攻撃者は被害者のコンピュータ全体を(おそらくランサムウェアを使って)乗っ取り/侵害したいと考えています。被害者に「信頼できる」ソースによって作成/配布されたプログラムを実行するように説得します。
  • 攻撃者は被害者にギフトカードで$ 2500を送ることを望んでいます(これはあなたが考えているよりも一般的な攻撃です):被害者にあなたが上司であることを説得し、企業アカウントでギフトカードを購入し、カバーされていることを伝えます。もっともらしい受信者(企業パートナー、または賞品イベントを運営している社内チームなど)であるが、アドレスが間違っている誰かにそれらを送信する。
  • 攻撃者は望んでいます...

資格情報のフィッシングは、セッショントークンのXSSのようなものです。それは明白で恐ろしく、完全に正当なターゲットですが、攻撃者が実行できる唯一のことからは遠く、その目標を明確に保護する緩和策は通常、他の目標を防ぐためにほとんどまたは何もしません。 FIDO/U2Fセキュリティキーは、Webベースのフィッシングページに対する優れた保護を提供しますが、一貫して使用する必要があります。アプリへのアクセスの承認、コードの実行(ブラウザーや電話などのサンドボックス内、または直接コンピューター上)、または被害者の資格情報やログインセッションを直接盗むことを含まないその他の攻撃に対する保護は提供されません。

13
CBHacking

想定:フィッシングとは、GMailのような偽のWebページを作成し、ユーザーをだましてユーザー名とパスワードを入力させることを意味します。

Gmailには2種類の2FAがあります

1)電話プロンプト:これを無効にするために、攻撃者がしなければならないことは、盗んだユーザー名とパスワードですぐにログインを試みることです。ログインしていると思うので(結局のところ、フィッシングサイトにログインしようとしただけです)、おそらくそれを確認します。ブラウザや場所などの問題に気づくことで、より知識のあるユーザーがここに保存されるかもしれませんが、多くの人はクリックするだけです。 (フィッシングサイトを使用したばかりなので、さらに詳しい知識のある攻撃者はブラウザ/ OSと場所を知っており、トラブルになりすまして、それを偽装することもできます。)

2)SMSコード:再び攻撃者は、携帯電話番号も要求するサイトを構築し、フィッシングされた情報をすぐに使用する必要があります。SMSを取得し、入力します。最初のフィッシングページがあなたを騙して情報を入力させた場合、ステップ2でそれが偽物であることに突然気付くことはまずありません。

3)FIDO U2Fドングル/鍵トークン:ユーザー名とパスワードをフィッシングサイトに入力するように騙された場合、実際には本当のセキュリティを提供します。攻撃者は、mail.googiie.hackerland用に生成させたトークンを使用して、実際のGoogleドメインにアクセスすることはできません。

3
Affe