Двухфакторная аутентификация должна отпугивать хакеров, но она не всегда работает так, как планировалось. Благодаря атаке обхода 2FA в Google Chrome хакерам полностью удалось избежать необходимости использования кодов 2FA для доступа к учетным записям.
Праздник хакеров
Пока многие люди праздновали сочельник, хакеры отправили фишинговое сообщение взломать учетную запись сотрудника Cyberhaven . То, что казалось законным сообщением об удалении расширения Cyberhaven Chrome из Интернет-магазина Chrome, оказалось вредоносным сообщением, которое давало хакерам доступ, необходимый для замены реальной версии расширения Cyberhaven вредоносной версией.
Учетные данные сотрудника ни разу не были скомпрометированы, а код многофакторной аутентификации (MFA) также не был получен. Однако в результате кибератаки расширение и учетные записи пользователей были скомпрометированы на несколько дней.
Обход Chrome 2FA
Генеральный директор Cyberhaven Говард Тинг заявил, что атака была обнаружена поздно вечером в Рождество, а вредоносное расширение было удалено в течение часа после обнаружения. На самом деле впечатляет то, что компания не только обнаружила проблему, но и предприняла шаги для ее решения и проинформировала пользователей менее чем за 48 часов.
Возможно, это коснулось только пользователей, у которых в Chrome было включено автоматическое обновление и которые использовали расширение Cyberhaven Chrome. Вот тут-то и возникли проблемы: не имело значения, настроена ли у вас Chrome 2FA или нет – хакеры могли ее обойти.
Файлы cookie, хранящиеся в Chrome, позволяют хакерам обойти требование двухфакторной аутентификации, поскольку браузер показывает, что пользователи уже прошли аутентификацию. Да, это удобно, что вам не нужно постоянно получать код, но это также быстрый способ для хакеров проникнуть в ваши аккаунты.
Кибератака в основном была нацелена на аккаунты ИИ и социальных сетей. Cyberhaven немедленно проинформировал пользователей и посоветовал им обновиться до последней версии, чтобы предотвратить дальнейший доступ хакеров. Разумеется, пользователям посоветовали сменить пароли и удалить все файлы cookie.
Не только Киберхейвен
Небольшая ирония в том, что пострадала охранная компания, но это также служит уроком того, что кто угодно и любая компания могут быть скомпрометированы. Быстрые действия и прозрачность могут помочь другим оставаться в безопасности.
Важно отметить, что атаке подверглось не только расширение Cyberhaven для Chrome. Был скомпрометирован широкий спектр расширений, но Cyberhaven только что сообщила об этом более публично. В настоящее время эксперты по безопасности не уверены, было ли обращение к расширениям случайным или целенаправленным.
В идеале лучший способ обезопасить себя от подобных атак — всегда очищать файлы cookie после каждого сеанса просмотра. Также неплохо поддерживать ваш браузер и расширения в актуальном состоянии, хотя в этом случае автоматическое обновление фактически устанавливает вредоносную версию. Однако множество расширений Chrome призваны защитить вас от вредоносных сайтов, рекламы и фишинга.
В целом, 2FA все равно лучше — это не просто пароль, поэтому его не следует избегать только из-за обходных атак. Просто будьте осторожны и не увлекайтесь фишинговое мошенничество .
Изображение предоставлено: Пексели . Скриншоты: Crystal Crowder.
