"You know, we are protected against phishing because we have implemented multi-factor authentication." This phrase, we have heard it too many times.
As you know, at Arsen we are very committed to raising awareness among employees about cybersecurity.
Where a trained and aware employee is an active defense for the company, an untrained person represents a real danger.
Indeed, a user who has not been properly prepared is a weak link that can be exploited and can bypass the tools and technical protections in place.
In this article, I will show you in a video how from a simple phishing email, we can bypass multi-factor authentication, also known as MFA or 2FA.
Demonstration
Principle
Une attaque de phishing utilisant un reverse proxy pour contourner l'authentification à deux facteurs (2FA) exploite une méthode sophistiquée pour tromper les utilisateurs et accéder à leurs comptes en contournant les mesures de sécurité supplémentaires telles que le 2FA.
Voici comment cela fonctionne généralement :
- Création d'une page de phishing : Les attaquants créent une page web malveillante qui imite parfaitement une page de connexion légitime, telle qu'une page de connexion bancaire, de messagerie électronique ou de médias sociaux.
- Mise en place du reverse proxy : Les attaquants configurent un serveur proxy inversé (reverse proxy) qui intercepte les requêtes de connexion légitimes des utilisateurs. Lorsqu'un utilisateur entre ses identifiants de connexion sur la page de phishing, ces informations sont envoyées au serveur proxy inversé au lieu du véritable serveur de destination.
- Redirection vers le véritable service : Une fois que les identifiants de connexion sont capturés, le serveur proxy inversé redirige la demande de connexion vers le véritable service en ligne, tel qu'une banque en ligne ou une plateforme de messagerie.
- Capture du cookie de session : En raison de la nature du 2FA, le service en ligne envoie un code de vérification au périphérique de l'utilisateur, souvent via un SMS ou une application d'authentification. Dans cette attaque, le serveur proxy inversé intercepte également ce code de vérification, mais surtout le cookie de session une fois l'authentification validée.
- Accès au compte : Avec les identifiants de connexion et le cookie de session, les attaquants peuvent alors accéder au compte de l'utilisateur. Ils utilisent les informations capturées pour se connecter rapidement avant que l'utilisateur légitime ne réalise ce qui se passe.
En utilisant cette méthode, les attaquants peuvent contourner le 2FA en interceptant les informations sensibles lors du processus de connexion et en accédant rapidement au compte avant que l'utilisateur ne puisse prendre des mesures pour sécuriser son compte.
C'est pourquoi il est essentiel pour les utilisateurs d'être vigilants lors de la vérification des pages de connexion et de toujours vérifier l'URL et les certificats de sécurité avant de fournir des informations d'identification.
Conclusion
As you have understood, 2FA is not a miracle solution that will solve all your identification problems.
It is a good practice that allows for better control over identity and will likely deter or prevent certain attacks.
However, a motivated and skilled cybercriminal will be able to bypass this type of protection if your employees are not properly trained and aware.
