casser votre authentification à double facteur

Ici on parle de sécurité. Venez donc poser vos questions ou proposer vos solutions.

Modérateur: Barbapapa

casser votre authentification à double facteur

Message par Vinnie » 13 Sep 2022 15:05

https://www.01net.com/actualites/evilpr ... cteur.html
EvilProxy, le service tout-en-un qui permet aux pirates de casser votre authentification à double facteur


Un geek pourrait-il expliquer en langage profane comment ils redirigent les sms ?
Je suis responsable de ce que je dis,
je ne suis pas responsable de ce que vous comprenez
Avatar de l’utilisateur
Vinnie
Acharné
Acharné
 
Message(s) : 3771
Inscription : 30 Juin 2007 19:56

Re: casser votre authentification à double facteur

Message par max » 13 Sep 2022 15:14

C'est littéralement expliqué dans dans l'article.

Ils n'envoient pas de SMS, ils interceptent juste le login, le mot de passe et le code reçu dans le SMS (ou l'appli) .
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8792
Inscription : 10 Juin 2001 00:58
Localisation : [email protected]

Re: casser votre authentification à double facteur

Message par Vinnie » 13 Sep 2022 21:00

OK, et pour intercepter le code recu par sms, ils doivent attendre que la victime écrive le code sur son pc ? C'est bien ca ?
Je suis responsable de ce que je dis,
je ne suis pas responsable de ce que vous comprenez
Avatar de l’utilisateur
Vinnie
Acharné
Acharné
 
Message(s) : 3771
Inscription : 30 Juin 2007 19:56

Re: casser votre authentification à double facteur

Message par max » 13 Sep 2022 21:26

oui, c'est exactement ça.. Et ce faisant, ils prennent contrôle de la session.
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8792
Inscription : 10 Juin 2001 00:58
Localisation : [email protected]

Re: casser votre authentification à double facteur

Message par Vinnie » 13 Sep 2022 21:37

ok merci, donc c'est une biesse fausse page de phishing. C'est ca que je voulais savoir ;) (j'avais un doute)

Je connais un ancien collègue qui s'est fait bloquer son pc, et les hackers ont vidé son compte en banque ... Il avait un antivirus, mais licence périmée depuis 2 semaines et donc plus mis à jour.
Il espère récupérer son argent, mais l'enquête est toujours en cours depuis les semaines. Il est dans le brun et a déja recu la visite d'huissiers pour défaut de paiement.

Je n'en sais pas plus, il m'a dit ca par sms, et d'après les coups de colère que je le vois pousser sur fesse-bouc, c'est bien réel.

Quelle bande de porcs tous ces hackers qui plument les pauvres gens. Qu'ils s'attaquent plutôt aux milliardaires !

Comme ma mère a bien raison d'exiger toutes ses factures par la poste et non par e-mail !
Je suis responsable de ce que je dis,
je ne suis pas responsable de ce que vous comprenez
Avatar de l’utilisateur
Vinnie
Acharné
Acharné
 
Message(s) : 3771
Inscription : 30 Juin 2007 19:56

Re: casser votre authentification à double facteur

Message par lucifer2791 » 14 Sep 2022 08:26

hum, c'est pas juste une biesse page ;)

pour un peu plus clair et moins geek, ils te laissent t'authentifier avec login/mot de passe et ta 2fa (ou MFA)

Et une fois que tu est authentifié sur la BONNE page; ils captent le cookie d'authentification (appellé aussi le jeton d'auth)

sur le forum, faut faire joujou avec le phpbb3_hixw9_*

sur pas mal de site, c'est juste le Cookie=

Et avec ce jeton, on peut faire TOUT comme si on avait tapé le login/password/2fa

et zou, le ocntournement permet de vider un compte/delete u ncompte/prendre les informations/etc

Exemple : bnpparibasfortis.be utilise Cookie

Mais une sécurité doit être mise en place par des sites "sérieux" le jeton doit être associé à une ip/navigateur sinon, il ne devrait pas marcher; mais ca reste la théorie (car si l'ip de la box de mme michu change pdt c'est virements => paf déco si on se base que sur l'ip)

J'ai par le passé fait joujou sur ma bbox3 via le cookie d'auth pour recup des infos dessus, mais c'est pas très stable/fiable car des fois, après 2min, le cookie expirait.

P.S. : si ton collègue a pas donné son code du digit, ils avaient la main sur le pc, et un pare-feu sera plus optimisé pour ce genre de souci (interdire le rdp/prise en main à distance) du coup, l'antivirus, osef :)
FP3+ or FP4 avec un coupon de 25€

Archlinux | ArchlinuxArm | ManjaroArm
lucifer2791
Membre
Membre
 
Message(s) : 163
Inscription : 25 Oct 2012 21:13

Re: casser votre authentification à double facteur

Message par max » 14 Sep 2022 09:11

En fait, l’innovation présentée dans l'article, c'est le service "clé en main" de ce EvilProxy.
Avatar de l’utilisateur
max
Barbapapa Team
Barbapapa Team
 
Message(s) : 8792
Inscription : 10 Juin 2001 00:58
Localisation : [email protected]

Re: casser votre authentification à double facteur

Message par Vinnie » 15 Sep 2022 12:20

J'en sais plus sur mon collègue qui s'est fait vider son compte à vue. Nous autres ne nous serions jamais fait avoir et aurions attendu de changer d'ip pour réinstaller windows.

PC bloqué avec un bruit de sirène de police , reboot sauvage , message soi disant de microsoft disant qu'il devait leur téléphoner car victime d'une fraude.
Il appelle soi disant microsoft, la personne lui parle parfaitement francais et dit qu'il est soi disant victime d'une fraude bancaire et qu'il doit bloquer la transaction. Son pc se débloque par magie et apparait le site de sa banque à l'identique.
Il utilise son digipass par 3 fois pour signaler la soi disant fraude , le samedi ... Le lundi, plus d'argent.

Donc il l'a dans l'os pour se faire rembourser. Son seul espoir est qu'il a appelé cardstop samedi directement après, et que la transaction fut faite lundi. D'après son contact de test-achats chez qui il est client et qui lui met un avocat sur l'affaire, la banque aurait fait une erreur vu qu'il a appelé cardstop samedi.

J'ai des doutes vu qu'il avait fait la transaction avant d'appeler cardstop, mais c'est son seul espoir.
Je suis responsable de ce que je dis,
je ne suis pas responsable de ce que vous comprenez
Avatar de l’utilisateur
Vinnie
Acharné
Acharné
 
Message(s) : 3771
Inscription : 30 Juin 2007 19:56


Retour vers Sécurité

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit

cron