❤️ Adquiere tu membresía:  Contenidos protegidos, manuales y videos >> Ver Más

Cómo evadir 2FA/MFA con phishing usando Evilginx2

En este artículo, analizaremos cómo puede eludir la autenticación multifactor (MFA) en un ataque de phishing para tomar el control de las cuentas.

Pre requisitos

  • Un buen dominio para ser utilizado. También puedes echar un vistazo al siguiente listado que tiene algunos dominios disponibles que puedes comprar y usar para tus ataques de phishing. 

Office365

office365-authenticator.com
offlce.com
0ffice365.com
0fffice365.com
office-microsoftonline.com
office365-microsoftonline.com
office-auth.com
office365-onmicrosoft.com
office365-identity.com
office365-redirect.com
microsoft365-login.com
officeauth-microsoft.com

Outlook

outlook365.com
outlook-mail.com
outlook-email.com
outlook-msfauth.com
sign-outlook.com
auth-outlook.com
mailbox-outlook.com
mail-outlook.com
outlook-sso.com

Azure

azure365.com
portaloffice-azure.com
development-azure.com
portal-azure-cloud.com
portal-azure.cloud
azure-auth.com
trial-azure.com
try-azure.com
azure-tenant.com
azure-authenticator.com
identity-azure.com

AWS

console-aws.com
console-amazon.com
login-aws.com
aws-auth.com
login-awscloud.com
singin-aws.com
singin-console-aws.com
try-aws.cloud
login-aws-amazon.cloud
auth-amazon.cloud
auth-aws.cloud

Okta

okta-authentication.com
okta-redir.com
signin-okta.com
okta.network
okta.direct
okta-2fa.com
okta-v2.com
okta-relay.com
0kta-auth.com

Google

google-gcloud.com
inbox-gmail.com
signin-gmail.com
gstatic-content.com
authn-google.com
googlecloud-authenticator.com
gcloud-login.com
google-redir.com
google-identity.com
google-next.com
google-recruitment.com

LinkedIn

social-linkedin.com
signin-linkedin.com
recruit-linkedin.com
linkedin.business
linkedin-welcome.com
linkedin-auth.com
linkedin-authenticate.com
linkedn.social
linkdin.social
  • Evilginx2 debe estar instalado en una máquina pública. Usaremos esta herramienta para actuar como un hombre en el medio (MitM) entre la víctima y la plataforma oficial para la que estamos suplantando (O365, AWS, LinkedIn, etc.).

Creación de una página de phishing

Una vez instalado en nuestra máquina, iniciaremos Evilginx2 en modo de prueba usando el indicador -developer, como se muestra a continuación.

Para el propósito de esta pequeña guía, usaremos Evilginx2 solo localmente.

Agregaremos uno de nuestros dominios al archivo “/etc/hosts”.

Configuraremos Evilginx2 para usar el dominio local para el que acabamos de establecer un registro anteriormente.

config domain <tu dominio>
config ip <tu dirección IP>

A continuación, debes configurar los detalles del phishlet:

phishlets hostname github <tu dominio>
phishlets enable github

Como paso final, tendremos que configurar los “lures”, que representan el destino final del Man-in-the-Middle, por lo que la herramienta manejará las solicitudes entre nuestra víctima y el servicio (ejemplo: Github, Office365, Azure, AWS, etc.)

lures create github
lures edit <lure id> redirect_url https://github.com/login

Para obtener el enlace de phishing final, debemos usar el siguiente comando:

lures get-url <lure id>

Y ahora, debes navegar a la URL devuelta desde el resultado del comando anterior, y notarás que el navegador te muestra la página de inicio de sesión de Github.

Bastante agradable, ¿verdad?

Evadiendo la autenticación de 2 factores (2FA) a través de phishing

Debes ingresar tus credenciales en el formulario de inicio de sesión y se te mostrará la página de solicitud de código 2FA/MFA.

Una vez que ingreses el código correcto, iniciarás sesión en GitHub. ¿Pero notas algo extraño?

El dominio no es github.com, pero es el mismo dominio de phishing (github-developer.com) en el que configuramos Evilginx2.

A continuación, revisemos la consola para ver qué sucede del lado del atacante.

En la consola, debajo del resultado anterior, también notarás que la herramienta también capturó las credenciales del usuario. Pero esos son inútiles si él o ella tiene habilitado 2FA/MFA, ¿Verdad?

Debemos emitir el siguiente comando en la terminal Evilginx2:

sessions <id> (starts from 1)

Como puedes ver arriba, se han capturado todas las cookies de ese usuario, incluido el token de sesión (valor de user_session).

Ahora, debemos ir a Github.com (la plataforma oficial) e insertemos nuestras cookies capturadas, para ver si secuestramos con éxito la sesión de la víctima.

¡Y ahí estamos!

¿Por qué y cómo funciona?

Este método funciona porque el objetivo final del atacante no es obtener las credenciales reales, sino obtener la Cookie/Token de sesión, que puede usar para secuestrar la sesión de la víctima.

¡Gracias por leernos, esperamos que este artículo te haya resultado útil!

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información