Как не отдать хакеру свой аккаунт: методы обхода MFA и способы защиты от таких кибератак

[dmitry777z]

100% защиты от вирусов нет.

Новые угрозы: Вирусы постоянно эволюционируют, появляются новые виды и модификации, которые могут обойти существующие антивирусные системы.

• Сложность программ: Даже самые сложные антивирусные программы не могут предусмотреть все возможные сценарии атак и защититься от всех видов вредоносных программ.

• Человеческий фактор: Пользователи часто совершают ошибки, которые могут привести к заражению, например, открывая вредоносные вложения, переходя по подозрительным ссылкам или устанавливая приложения из ненадежных источников.

• Проблемы с обновлением: Некоторые пользователи забывают обновлять свои антивирусные программы, что делает их уязвимыми для новых угроз.

[Kil1J0y]

MFA хорошо работает пока с ним работает обученный человек который знает как проходит авторизация, а если пошла атака понижения не продолжит авторизацию менее защищенным методом.

От 0-day защиты нет, какая бы у вас система безопасности не была, вспоминаем eternalblue, ни ids/ips их не фиксировали пока не выскрылась уязвимость.

Есть 100% защита от вирусов, если соблюсти некоторую подготовку

1. Получит образ ОС 100% чистый

2. Ставить в оффлайн

3. Ни в коем случае не подключать интернет

   Вы великолепны у вас рабочая система без возможности заражения через интернет, остаётся следить кто что подключает к ней.

[Ileots]

Скажите, а есть ли планы внедрить защиту от обхода MFA в ЛК МТС?...

Формально она есть, но, специально ещё раз проверил - отключается одной смс-кой...

Это не говоря о том, что при 2фа, включенной в ЛК МТС, в него все равно можно попасть без пароля, только по смс - через логин в МТС банк, где 2фа нет в принципе ...

[SagePtr]

либо используя как основной алгоритм скомпрометированный SHA-1

А можно с этого момента подробнее: в чём именно этот алгоритм скомпрометирован? Пока что знаю только одну уязвимость - это теоретическую возможность генерации двух различных документов с одинаковым хэшем - но не понимаю, как это может быть применимо в случае TOTP? Неужели злоумышленник, зная несколько сгенерированных одноразовых кодов и время их генерации, может восстановить общий секрет или сгенерировать коды для другого времени? Или сгенерировать другой секрет, который будет давать те же самые коды?

[dupidu]

Как раз по эту коллизию и идет упоминание в статье и объяснено почему это не очень хорошо для систем где важна уникальность. Да сейчас нет активной атаки для применения её для OTP, но вероятность, в связи с данной коллизией есть и когда её применят или разовьют, то мы об этом узнаем скорее всего с неким опозданием и возможно получим "уязвимость нулевого дня (0-day)". Это не означает, что от SHA-1 надо отказаться уже сейчас и больше его не использовать, просто если есть возможность выбора более защищенного криптоалгоритма и это никак не влияет на какие-то другие параметры, то лучше использовать уже его...