Domanda Eludere autenticazione a due fattori

Stato
Discussione chiusa ad ulteriori risposte.

0xbro

Super Moderatore
24 Febbraio 2017
4,464
179
3,755
1,825
Salve a tutti,
volevo chiedere se secondo voi fosse possibilie bypassare l'autenticazione a due fattori implementata da qualunque sito. E' davvero così sicura o esistono dei metodi e delle vie alternative per superarla?
Grazie per l'attenzione ☺
 
Salve a tutti,
volevo chiedere se secondo voi fosse possibilie bypassare l'autenticazione a due fattori implementata da qualunque sito. E' davvero così sicura o esistono dei metodi e delle vie alternative per superarla?
Grazie per l'attenzione ☺
Non è sempre sicura l'implementazione, la falla si può trovare spesso a causa dell'ignoranza degli sviluppatori. Nel mio caso, una volta sono riuscito a bypassarlo in un sito per via di una misconfigurazione di qualche header.

Ogni volta che fai l'autenticazione a 2 fattori il tuo IP è inserito automaticamente in whitelist per un limite di tempo per l'accesso dell'account specifico onde evitare di ripetere il processo. Se uno spoofasse il tuo IP, una volta loggato con i tuoi dati, potrebbe bypassare il fattore a 2 autenticazioni e avere il controllo dell'user. Io per fortuna ho avuto la possiblità di fare dei test e confermare che fu possibile spoofare l'IP di chiunque attraverso l'header X-Forwarded-For. Potrebbe capitare in un numero di casi eccezionali.

look here.
 
Non è sempre sicura l'implementazione, la falla si può trovare spesso a causa dell'ignoranza degli sviluppatori. Nel mio caso, una volta sono riuscito a bypassarlo in un sito per via di una misconfigurazione di qualche header.

Ogni volta che fai l'autenticazione a 2 fattori il tuo IP è inserito automaticamente in whitelist per un limite di tempo per l'accesso dell'account specifico onde evitare di ripetere il processo. Se uno spoofasse il tuo IP, una volta loggato con i tuoi dati, potrebbe bypassare il fattore a 2 autenticazioni e avere il controllo dell'user. Io per fortuna ho avuto la possiblità di fare dei test e confermare che fu possibile spoofare l'IP di chiunque attraverso l'header X-Forwarded-For. Potrebbe capitare in un numero di casi eccezionali.

look here.
Si possono usare anche i cookie giusto?
 
Si utilizzano diversi sistemi per eludere la 2FA tra i quali il sim swapping previa conoscenza del numero telefonico di riferimento o di altre tecniche complesse che consentono di deviare l'sms su un altro telefono gestito dall'hacker. Altri sistemi consistono nell'impiego di costi aggeggi altrimenti chiamati "IMSI Catcher" ma questi ultimi richiedono un investimento notevole.
 
Altri sistemi consistono nell'impiego di costi aggeggi altrimenti chiamati "IMSI Catcher" ma questi ultimi richiedono un investimento notevole.

P.s Un imsi catcher può essere costruito con 50€ , un Motorola + saldatore + cavo seriale + osmocombts


Inviato dal mio iPhone utilizzando Tapatalk
 
Io ricordo veniva sfruttata una specie di white list in caso l’ignaro utente metta la spunta sul ricordare ogni volta il dispositivo.
In poche parole identificate le credenziali bastava attraverso Api Key di google applicare un forwarding immettendo lo stesso ip vittima .. a remoto il sistema ti identificava come associato e ti faceva entrare.

[emoji23][emoji23] durissssimo da spiegare


Inviata da iPhone tramite app ufficiale di Inforge.net
 
In poche parole parlando di Sicurezza Informatica per prevenire eventuali sistemi consiglio MAI mettere spunta sul ricordare dispositivo ma richiedere OGNI VOLTA un codice nuovo


Inviata da iPhone tramite app ufficiale di Inforge.net
 
Io ricordo veniva sfruttata una specie di white list in caso l’ignaro utente metta la spunta sul ricordare ogni volta il dispositivo.
In poche parole identificate le credenziali bastava attraverso Api Key di google applicare un forwarding immettendo lo stesso ip vittima .. a remoto il sistema ti identificava come associato e ti faceva entrare.

[emoji23][emoji23] durissssimo da spiegare


Inviata da iPhone tramite app ufficiale di Inforge.net
Si certo, ma richiederebbe di conoscere l'ip della vittima e una buona dose di conoscenza per applicare l'ip spoofing. La clonazione della sim invece è la strada piu consigliata perché non esiste 2fa che tenga, poi ognuno è libero di esprimere la propria opinione.
 
Cos'è che intendi precisamente?
Se èer accedere ad una account usi i suoi cookie lo bypassi la verifica a due fattori giusto? Siccome altrimenti chiederebbero sempre l'autenticazione a coloro che hanno già fatto accesso sul loro account.
 
Se èer accedere ad una account usi i suoi cookie lo bypassi la verifica a due fattori giusto? Siccome altrimenti chiederebbero sempre l'autenticazione a coloro che hanno già fatto accesso sul loro account.
Dipende... Se ha già fatto il login di solito sei già dentro il suo account. Bisogna vedere se usa un header a parte o roba simile per i due fattori per identificare la validità dell'autenticazione.
 
Salve a tutti,
volevo chiedere se secondo voi fosse possibilie bypassare l'autenticazione a due fattori implementata da qualunque sito. E' davvero così sicura o esistono dei metodi e delle vie alternative per superarla?
Grazie per l'attenzione ☺

Allora, il bypass dell'autenticazione a due fattori con numero di telefono è possibile, ma con una dose di social engineering e qualche sotterfugio tecnico.

Una volta ottenuto il numero di telefono del bersaglio (che è la cosa che ci serve di più) basterà appropriarsene (sim swapping/cloning), deviare o sniffare.
Per sniffare potremmo sfruttare una vulnerabilità del sistema SS7, ma è improbabile un attacco simile, sia per soldi (se non hai certi contatti è impossibile) sia per il rischio che corrono chi accede alla rete SS7 per fare questo tipo di operazioni.
La vuln SS7 può essere usata su sistemi quali Telegram/Whatsapp/Instagram ad esempio.

Il bypass della 2FA relativa alla email può essere fatta passivamente o attivamente.
Passivamente possiamo vedere cookie grabbing ad esempio, oppure basarsi sulle sessioni e sull'impersonificazione insomma (anche attraverso IP Spoofing).
Attivamente possiamo vedere l'hacking della mail, e quindi il conseguente possesso del codice di autenticazione, ad esempio.

Inutile dire che tutte le tecniche hanno bisogno di una buona dose di social engineering, come un buon hacker sa.
 
  • Mi piace
Reazioni: Sheila1185 e 0xbro
Stato
Discussione chiusa ad ulteriori risposte.