Исследователи безопасности с Google Threat Intelligence Group (GTIG) обнаружили, что российские хакеры успешно обходили многофакторную аутентификацию (MFA) Google в Gmail для совершения целенаправленных атак. Метод заключался в использовании передовой социальной инженерии, чтобы заставить жертв создать и передать пароли для приложений.
Об этом сообщает Группа разведки угроз Google.
Как работала схема обхода MFA?
Хакеры выдавали себя за должностных лиц Государственного департамента США. Они вступали в контакт с жертвой, а затем убеждали создать пароли для отдельных программ (пароли приложений).
Пароли приложений — это 16-значные коды, которые генерирует Google. Они позволяют определенным программам или устройствам безопасно получать доступ к аккаунту Google, особенно когда включена многофакторная аутентификация. Эти пароли создавались для старых или менее безопасных приложений, которые не могли обрабатывать второй этап проверки MFA. Однако именно это делало их уязвимыми: поскольку пароли приложений пропускают второй шаг проверки, их легче угнать или получить через фишинг.
Сценарий атаки: пример от CitizenLab
Как показал пример, приведенный CitizenLab, злоумышленники действовали по следующей схеме:
- Первоначальный контакт: Хакеры связывались с жертвой, выдавая себя за представителя Государственного департамента, приглашая на «консультацию» в частном онлайн-разговоре.
- Создание иллюзии легитимности: Приглашение поступало из аккаунта Gmail, но было отмечено как копии для четырех аккаунтов «@state.gov». Это создавало ложное чувство безопасности, заставляя жертву полагать, что другие сотрудники Госдепартамента отслеживают переписку. По всей вероятности, эти адреса были выдуманы, ведь почтовый сервер Госдепартамента принимает все сообщения без ответа об отказе, даже если адреса не существуют.
- Выманивание пароля приложения: После того, как жертва проявляла интерес, она получала официальный документ с инструкциями по регистрации учетной записи «Гость-арендатора MS DoS». В документе подробно описывался процесс «добавления вашей рабочей аккаунты… к нашей платформе Гость-арендатора MS DoS», включавшей создание пароля приложения для «обеспечения безопасной связи между внутренними сотрудниками и внешними партнерами».
Таким образом, жертва считала, что создает и распространяет пароль приложения для безопасного доступа к платформе Госдепартамента, тогда как на самом деле она предоставляла злоумышленнику полный доступ к своему аккаунту Google.
Цели и организация кампании
Целями этой кампании, продолжавшейся месяцами, были известные ученые и критики России. Высокая детализация и мастерство организации атак заставили исследователей подозревать, что за ними стоит финансируемая российским государством организация.
Как обезопаситься: рекомендации
Теперь, когда этот метод обхода MFA известен, ожидается рост количества подобных атак.
- Избегайте паролей приложений: Используйте их только при крайней необходимости. Выделите приложения и устройства, которые поддерживают более безопасные методы входа.
- Выбирайте более устойчивые методы MFA: Хотя многофакторная аутентификация важна, не все ее виды одинаково надежны. Приложения для проверки подлинности (например, Google Authenticator) или аппаратные ключи безопасности (FIDO2/WebAuthn) более устойчивы к атакам, чем коды на основе SMS, не говоря уже о паролях приложений.
- Учитесь распознавать фишинг: Злоумышленники часто обходят MFA, обманом заставляя пользователей раскрывать учетные данные или пароли приложений через фишинговые схемы. Регулярно учите себя и другим распознавать такие попытки.
- Следите за подозрительной активностью: Будьте внимательны к необычным попыткам входа или подозрительному поведению (входы из незнакомых мест/устройств). Ограничь такие входы, где это возможно.
- Обновляйте ПО: регулярно обновляйте операционную систему и программы для исправления уязвимостей. Включите автоматические обновления.
- Используйте защитное ПО: Установите программное обеспечение безопасности, которое блокирует вредоносные домены и распознает мошенничество.
Почему вы можете доверять vesti-ua.net →