Názory k článku Postřehy z bezpečnosti: Starkiller – AitM reverzní proxy pro obcházení MFA

Asi by stálo za to říct, že AitM je jen přebrandovaný MtiM

MITM je pasivní útok, kde odposlechnutá informace je zneužita později.
AITM je aktivní cílený útok, kde jsou cestou změněna data ve prospěch útočníka, je to nadstavba nad MITM.

Jsou nějaké podrobnosti k tomu, jak Tycoon 2FA obchází vícefaktorovou autentikaci?

Tip: zachyti 2FA token. Neobejde ji.

Proti AitM pomaha U2F. Na to neplati phishing.

zařízení v Bahrajnu bylo poškozeno poté, co poblíž přistál dron ....no, on tam tak uplne nepristal, smyslem pristani nebyva vybuch :-) I samo AWS to uvadelo jako drone strike in close proximity .

V tomto případě oběť nezachrání ani druhý faktor, jelikož jednorázový kód zadá do formuláře vygenerovaného na falešné doméně.

Jak který druhý faktor. Třeba takové Fido je proti tomuto typu útoku imunní, protože druhý faktor je vždy vázán na doménové jméno.

To snad ani kód Google Authneticatoru se takto nedá zneužít, nebo jo?

V práci teď musím používat 2FA, tak jsem si zřídil

OTP (Google Auth), povinný první prostředek, celkem otrava používat

FIDO key

a nějaká biometrika na notebooku (TouchID)

OTP považuji za fall-back nebo nouzovku
Připadá mi to, že tím druhým faktorem se tady myslí kód ze SMS, a to je taky důvod, proč to banky nechtějí a tlačí lidi do aplikace jako druhého faktoru.

OTP je zneužitelný, když jej uživatel sám aktivně zadá do phishingové stránky.

FIDO klíč autentizuje i URL, při selhávce na falešné stránce je uživateli nabídnut fall-back na OTP.

Když selže autentizace bankovní aplikací, banka sama nabídne fall-back na SMS, pokud to není explicitně zakázáno.

Některý banky doposud nepochopily smysl druhého faktoru a v SMS posílají jen autorizační kód, aniž by zopakovaly podstatné informace z transakce.