it-swarm.com.de

Angreifer umgeht 2FA. Wie verteidige ich mich?

Detailliert in last NSA dump ist eine Methode, die angeblich vom russischen Geheimdienst verwendet wird, um 2FA zu umgehen. (In diesem Fall Google 2FA, wobei der zweite Faktor ein Code ist.)

Es ist ein ziemlich offensichtliches Schema, von dem ich sicher bin, dass es regelmäßig angewendet werden muss. Es scheint so zu funktionieren:

  1. Die URL wird per Spear-Phishing an das Ziel gesendet. Die URL verweist auf eine vom Angreifer kontrollierte Phishing-Website, die Google Google Mail ähnelt.
  2. Benutzer senden Anmeldeinformationen an das falsche Google Mail.
  3. (Annahme) Der Angreifer gibt Anmeldeinformationen in legitimes Google Mail ein und prüft, ob ein zweiter Faktor erforderlich ist.
  4. Ziel erhält legitimen zweiten Faktor.
  5. Die falsche Google Mail-Website fordert das Ziel zum zweiten Faktor auf. Ziel sendet zweiten Faktor.
  6. Der Angreifer gibt den zweiten Faktor in die legitime Site ein und authentifiziert sich erfolgreich.

Die einzige Möglichkeit, mich gegen diesen Angriff zu verteidigen, besteht darin, die falsche Site als Betrug zu erkennen oder die Phishing-Site über FWs, Bedrohungsinformationen usw. zu blockieren.

Gibt es eine andere praktische Möglichkeit, sich gegen ein solches System zu verteidigen?

(enter image description here

97
TheJulyPlot

Nicht alle Zwei-Faktor-Authentifizierungsschemata sind gleich. Einige Formen von 2FA, z. B. das Senden einer Textnachricht, sind gegen diesen Angriff nicht sicher. Andere Formen von 2FA, wie FIDO U2F, sind gegen diesen Angriff sicher - sie wurden bewusst für diese Art von Angriff entwickelt.

FIDO U2F bietet zwei Abwehrmechanismen gegen den Man-in-the-Middle-Angriff:

  1. Registrierung - Der Benutzer registriert sein U2F-Gerät bei einer bestimmten Website ("Origin"), z. B. google.com. Dann antwortet das U2F-Gerät nur auf Authentifizierungsanforderungen von einem registrierten Ursprung. wenn der Benutzer dazu verleitet wird, goog1e.com (eine Phishing-Site), dann antwortet die U2F nicht auf die Anfrage, da sie sehen kann, dass sie von einer Site stammt, bei der sie zuvor nicht registriert wurde.

  2. Kanal-ID- und Ursprungsbindung - U2F verwendet die TLS-Kanal-ID-Erweiterung, um Man-in-the-Middle-Angriffe zu verhindern und dem U2F-Gerät zu ermöglichen, dies zu überprüfen spricht mit derselben Website, die der Benutzer in seinem Webbrowser besucht. Außerdem weiß das U2F-Gerät, mit welchem ​​Origin es zu sprechen glaubt, und seine signierte Authentifizierungsantwort enthält eine Signatur über dem Origin, mit dem es zu sprechen glaubt. Dies wird vom Server überprüft. Wenn der Benutzer also auf goog1e.com und diese Seite fordert eine U2F-Authentifizierung an. Die Antwort vom U2F-Gerät zeigt an, dass die Antwort nur für die Kommunikation mit goog1e.com - wenn der Angreifer versucht, diese Antwort an google.com Kann Google feststellen, dass ein Fehler aufgetreten ist, da die signierten Daten den falschen Domainnamen enthalten.

Beide Funktionen umfassen die Integration zwischen dem U2F-Zwei-Faktor-Authentifizierungsgerät und dem Browser des Benutzers. Durch diese Integration kann das Gerät erkennen, welchen Domainnamen (Ursprung) der Browser besucht, und auf diese Weise kann Phishing und Man-in-the-Middle-Angriffe erkannt oder verhindert werden.

Weiterführende Literatur zu diesem Mechanismus:

64
D.W.

Außerhalb von Band 2FA ist der richtige Ansatz. Dies bedeutet, dass Sie einen zweiten Faktor haben, der nicht phishingfähig ist, wie ein Client-Zertifikat oder FIDO U2F. Codes oder SMS-basierte 2FA-Modelle sind die schwächsten 2FA-Optionen, da sie bandintern sind und, wie Sie beschrieben haben, genauso wie Anmeldeinformationen gefälscht werden können.

Sie sind praktisch, weil sie von fast jedem verwendet werden können, und sie sind sicherlich besser als nichts, aber die Sicherheit, die sie bieten, sollte niemals mit der Sicherheit verwechselt werden, die Out-of-Band 2FA bietet.

47
Xander

Dies ist eine der Situationen, in denen Ihnen ein (im Browser) Passwort-Manager hilft.

Da ein Passwort-Manager Passwörter anhand ihrer tatsächlichen URL speichert, wird er die Seite des Angreifers nicht automatisch ausfüllen oder sogar Vorschläge machen. Zusätzlich dazu, dass das 2-Schritt-Kennwort-Token nicht verloren geht, schützt es das Kennwort auch vor dem Durchsickern.

Dieser Schutz funktioniert sogar noch besser, wenn der Benutzer sein eigenes Passwort nicht kennt und nur über den Passwort-Manager interagieren kann, um das Passwort einzugeben.

14
Ferrybig

Die Quintessenz ist, dass wenn ein Angreifer Sie dazu verleiten kann, alle Anmeldeinformationen bereitzustellen, das Spiel vorbei ist. Es spielt keine Rolle, wie viele Faktoren beteiligt sind. Es gibt Dinge, die helfen können, die Gefährdung zu begrenzen, wie sehr kurze Zeitüberschreitungen für Token, die es einem Angreifer erschweren, den Token innerhalb des Zeitlimits zu erhalten und wiederzuverwenden. Zeitüberschreitungen sind jedoch nur begrenzt geschützt, da es schwierig sein kann, das richtige Gleichgewicht zu finden, insbesondere bei "gefälschten" 2FA, die so weit verbreitet sind und bei denen Sie Verzögerungen von Dingen wie SMS Zustellung) zulassen müssen, um dies zu verhindern Usability-Probleme (Ich habe gesehen, dass dies bei internationalen Diensten der Fall ist, bei denen die Zustellung SMS kann langsamer sein und das Token eine Zeitüberschreitung aufweist, bevor Sie es empfangen und in den Browser eingeben können).

Viele der als 2FA bezeichneten Systeme sind überhaupt nicht wirklich 2FA - sie sind tatsächlich 2SA (zweistufige Authentifizierung). In echtem 2FA sind die Faktoren etwas, das Sie kennen (Passwort) und etwas, das Sie haben (Token, oft hardwarebasiert). Schemata, die einen Code beinhalten, der über SMS gesendet wird, sind NICHT 2FA, sie sind 2SA - Sie haben nicht wirklich das Token - es wird an Sie gesendet. Da es etwas ist, das an Sie gesendet wird, Es gibt neue Bedrohungsvektoren, z. B. die Umleitung der Mobiltelefonnummer usw. Dies ist ein Grund, warum NIST SMS-basierte Token als zuverlässigen Authentifizierungsprozess veraltet hat).

In Bezug auf die spezifische Frage des OP besteht der einzige zuverlässige Schutz darin, die Phishing-Seite zu erkennen. Google hat eine chrome -Erweiterung veröffentlicht, um dies zu unterstützen. Die Erweiterung warnt Sie, wenn festgestellt wird, dass Sie Ihre Google-Anmeldeinformationen für eine Seite angeben, die keine Google-Seite ist.

Das große Problem ist, dass wir den Menschen jahrelang beigebracht haben, in URLs nach dem "grünen Vorhängeschloss" zu suchen, um sicherzustellen, dass die Seite legitim ist. Leider haben Bemühungen wie Lets Encrypt es jetzt einfach gemacht, domänenverifizierte Zertifikate zu erhalten, so dass viele dieser Phishing-Seiten jetzt das grüne Vorhängeschloss haben. Dies bedeutet nicht, dass das Problem auf Lets Encrypt zurückzuführen ist - dies ist eine sehr gute Initiative. Das Problem ist teilweise auf Schwachstellen in der PKI-Infrastruktur zurückzuführen, hauptsächlich jedoch auf das Bewusstsein und das Verständnis der Benutzer. Im Allgemeinen verstehen die Benutzer die PKI nicht und wissen nicht, wie ein Zertifikat für die Site legitim ist und dass die Site die Site ist, von der sie glauben, dass sie es ist. Um es noch schlimmer zu machen, sind die Schritte/die Zeit, die erforderlich sind, um diese Überprüfung durchzuführen, oft unpraktisch oder einfach zu schwierig, sodass die Leute es nicht tun. Die Situation wird durch Cleaver-schlechte Schauspieler verschlimmert, die Wege finden, um Dinge legitim aussehen zu lassen. Beispielsweise verwendet ein kürzlich durchgeführter Exploit Schwachstellen bei der Anzeige von URLs und Unicode-Zeichen durch Browser, um eine URL zu generieren, die in der Adressleiste so dargestellt wird, wie bei a Der Blick sieht korrekt aus, aber die tatsächlichen Zeichen in der URL geben eine Phishing-Site an. Der Benutzer schaut auf die Adressleiste, sieht ein grünes Vorhängeschloss und schaut auf die URL, die richtig aussieht (Ihr Gehirn füllt sogar Dinge aus, damit die Übereinstimmung besser aussieht!) Und akzeptiert die Seite als legitim. Sie bemerken keine zusätzlichen Leerzeichen zwischen Zeichen oder etwas seltsam aussehende Zeichenformen.

Wie schützen wir uns dagegen? Leider gibt es keine einzige "Tun Sie dies und Sie werden sicher sein". Einige Kennwortmanager können helfen, da sie die Anmeldeinformationen nur dann bereitstellen, wenn die URL korrekt ist. Verwenden Sie niemals URLs in E-Mail-Nachrichten. Geben Sie sie immer selbst ein oder verwenden Sie ein von Ihnen erstelltes Lesezeichen. Nehmen wir an, Sie werden sich irgendwann täuschen lassen und Praktiken anwenden, die den Schaden begrenzen, wenn er auftritt, dh unterschiedliche Passwörter für jede Site. Verwenden Sie nach Möglichkeit hardwarebasiertes 2FA, klicken Sie tatsächlich auf die Schaltfläche mit den Zertifikatdetails für "hochwertige" Sites und sehen Sie sich an, was passiert Es heißt, und für wen das Zertifikat registriert ist. Stellen Sie sicher, dass Ihr System über alle Aktualisierungen verfügt und Sie die neueste Browserversion usw. verwenden. Seien Sie von Natur aus misstrauisch und denken Sie daran, dass die große Bedrohung das Social Engineering ist. Seien Sie also sehr vorsichtig bei allem, was unter Druck steht Sie müssen aufgrund von Angst, Schuld, Belohnung oder Bestrafung handeln. Dies sind sehr effektive Motivatoren und Bedrohungsakteure verlassen sich auf sie. Phishing-Kampagnen sind in ihrer Implementierung viel ausgefeilter geworden, aber im Kern verlassen sie sich immer noch auf emotionale Manipulationen - ein Versprechen von etwas Wunderbarem oder eine Bedrohung von etwas Schrecklichem.

Wenn Sie aufgrund meiner Erwähnung von Passwort-Managern versucht sind, Kommentare abzugeben, tun Sie dies bitte nicht. Ja, es gibt Risiken bei Passwort-Managern und ja, einige sind schlimmer als andere. Im Allgemeinen bietet ein guter Kennwortmanager, der korrekt verwendet wird, dem durchschnittlichen Benutzer jedoch mehr Schutz als sein aktueller Kennwortverwaltungsprozess. Ja, wenn der Passwort-Manager kompromittiert wird, sind alle Ihre Passwörter kompromittiert. Viele Leute finden die Passwortverwaltung jedoch zu schwierig und verwenden ohnehin auf jeder Site das gleiche, oft schwache Passwort. Sobald eine Site kompromittiert ist, werden alle ihre Sites kompromittiert. Wenn Sie die Technologie verstehen und Kennwörter, Hashing usw. verstehen, können Sie wahrscheinlich eine sicherere Lösung finden, aber Sie sind nicht die Zielgruppe für Kennwortmanager. Überlegen Sie, wie Ihre Eltern oder Großeltern mit der Kennwortverwaltung umgehen und wie gut sie Phishing-Sites erkennen oder Zertifikate verstehen, und überlegen Sie dann, wie einfach sie mit Ihrer benutzerdefinierten GPG-basierten Kennwortverwaltung über Datei oder Synchronisierung umgehen können.

BEARBEITEN: Beim erneuten Lesen meiner Antwort bin ich mir nicht sicher, ob ich genug betont habe, dass echte 2FA zunehmend verfügbar ist, und viele der Anbieter, die derzeit die weniger sichere 2SA mit SMS-Codes) unterstützen, unterstützen dies ebenfalls weit 2FA sicherer, in vielen Fällen mit U2F (wie in anderen Antworten erwähnt). Hardware-Schlüssel von Yubico oder Duo (und anderen) sind billig und einfach einzurichten/zu verwenden. Meine einzige Empfehlung ist, wenn Sie sich für die Hardware entscheiden Token/Schlüssel-Route, stellen Sie sicher, dass Sie zwei Schlüssel erhalten, registrieren Sie beide und legen Sie einen Schlüssel an einem sicheren Ort ab. Ich habe einen, den ich bei mir habe, und einen, den ich in einem Safe zu Hause habe. Wiederherstellung nach einem Verlust/einer Beschädigung Der Schlüssel ist nicht so einfach wie das Wiederherstellen eines vergessenen Passworts. Sie möchten daher vermeiden, so weit wie möglich in diese Situation zu geraten.

9
Tim X

Wie in den Kommentaren erwähnt, ist dies keine gute Möglichkeit, Dinge zu tun.

Kehren Sie den Test vollständig um.

In diesem Fall vertrauen Sie darauf, dass das Mobiltelefon des Benutzers "sicher" ist. Verwenden Sie dies, um ihn zu authentifizieren. Wenn der Benutzer versucht, sich auf der Website anzumelden, fordert er ihn am Telefon auf, dieser Anmeldung zuzustimmen (per Push-Benachrichtigung idealerweise direkt an die Anwendung, nicht per SMS oder E-Mail, da diese leicht verletzt werden können). "Sie scheinen sich von IP x.y.z/geolocation foobar aus anzumelden - möchten Sie fortfahren?"

Sie können auch ein Zertifikat bereitstellen, das auf dem Telefon, jedoch nicht auf dem Computer vorhanden ist. Auf diese Weise kann der "Angreifer" nicht einfach auf diese Informationen zugreifen, indem er es schafft, den Benutzer auf die falsche Site umzuleiten.

Dieser Angriff ist bekannt als Phishing. Die gesamte Sicherheit der Welt nützt nichts, wenn Sie einen Endbenutzer dazu verleiten können, die Anmeldeinformationen freiwillig abzugeben.

Die Maßnahmen gegen Phishing umfassen:

  1. E-Mail-Server können E-Mails nach Links zu bekannten Phishing-Sites durchsuchen.

  2. E-Mail-Clients deaktivieren Links häufig standardmäßig und geben beim Aktivieren eine Warnung aus.

  3. Benutzer sollten vermeiden, auf Links in E-Mails zu klicken. Es ist oft sicherer, die Adresse einzugeben.

  4. Benutzer sollten niemals von einem beliebigen Ort aus über einen Link auf eine vertrauliche Site (z. B. eine Banking-Site) zugreifen. Verwenden Sie ein Lesezeichen oder geben Sie es ein.

  5. Entgegen einiger gängiger Meinung verwenden Benutzer sollten Kennwortmanager für vertrauliche Websites. Mit einem Passwort-Manager können Sie der falschen Site kein Passwort geben.

1
John Wu

Zusätzlich zu den anderen Antworten kann diese Art von Angriff verhindert werden, wenn sich die Site beim Benutzer authentifiziert , damit der Benutzer die Gewohnheit hat, ein stärkeres Signal zu erhalten, dass er Anmeldeinformationen auf einer authentischen Seite eingibt, selbst wenn er keinen Passwort-Manager verwendet oder nicht besonders genau aufpasst zur URL. Dies erfolgt normalerweise mit einem vom Benutzer ausgewählten Sicherheitsabbild (aus einer großen Anzahl von Optionen) plus einer vom Benutzer festgelegten Textzeichenfolge. Es wird nach Eingabe des Benutzernamens, aber vor dem Passwort (das auf zwei Seiten aufgeteilt wird) angezeigt. Es ist nicht vollständig narrensicher (Sie müssen verhindern, dass die Angreifer das Bild/die Zeichenfolge durch einfache Massenanforderung erhalten), aber es wurde entwickelt, um Phishing entgegenzuwirken, und es macht erfolgreiches Phishing etwas schwieriger. Wenn die Angreifer versuchen, Sicherheitsabbilder/-zeichenfolgen abzurufen, können diese Anforderungen dem echten Dienstanbieter auch einen Hinweis darauf geben, dass etwas nicht stimmt, und forensische Informationen darüber bereitstellen, woher diese Anforderungen stammen.

Ob es in der Praxis funktioniert oder nicht, ist eine andere Frage, und die Beweise aus einem Papier von 2007 legen nahe, dass nicht , zumindest für die meisten Benutzer.

0
WBT