تحديد الهدف بدأت العديد من المواقع الإلكترونية في إجبار المستخدمين على استخدام وتفعيل المصادقة الثنائية 2FA لمنع الهكر من الوصول إلى الحسابات واختراقها، وتحتوي جميع منصات البريد الإلكتروني تقريبًا الآن على هذه الميزة. تتمثل الخطوة الأولى في تعلم تجاوز المصادقة الثنائية 2FA على منصة معينة في تحديد هدفك.للقيام بذلك، نحتاج إلى إجراء هندسة عكسية لنظام المصادقة الثنائية 2FA ومعرفة كيفية عمله بالضبط. تفرض بعض المواقع الإلكترونية 2FA فقط وفقًا لمعايير محددة وتفرضها مواقع إلكترونية أخرى على أي محاولة تسجيل دخول.ومن الطرق التي قد يفرض بها موقع إلكتروني 2FA هي من خلال عنوان IP أو نموذج تسجيل الدخول. ومن الأمثلة الجيدة على ذلك حسابات البريد الإلكتروني الخاصة بشركة Yahoo. فقد هاجمهم الجميع لأنهم كانوا أغبياء ولم يفرضوا 2FA طالما كان عنوان IP لتسجيل الدخول من نفس البلد .سمح هذا للجميع بتسجيل الدخول إلى حسابات Yahoo واختراقها.
لذا بدون مزيد من الكلام الزائد، إليك كيفية إجراء هندسة عكسية لأي نظام مصادقة ثنائية 2FA لمواقع الويب وتجاوزه بكفاءة.
# 1. انطلق وقم بإنشاء حساب على المنصة او الموقع الإلكتروني الأساسي الذي تريد تجاوز المصادقة الثنائية 2FA عليه. استخدم IP سكني نظيف ، واتصال بالانترنت سريع 4G LTE او 5G كونها الأفضل. املأ جميع المعلومات الأساسية التي تتطلبها ولكن لا تقدم لها أي معلومات إضافية. تأكد من التسجيل على جهاز عادي باستخدام متصفح الويب
.بمجرد إنشاء الحساب ، انتقل إلى الخطوة 2.
# 2. إذا كانت الشركة لديها تطبيق Android ، فاستمر وقم بتنزيله داخل محاكي Android. إذا لم يكن لديهم تطبيق للهاتف ، قم بفتح موقع الويب الخاص بهم في متصفح على محاكي Android
.# 3. استخدم بروكسي 4G LTE RESI الموجود في نفس المدينة / الدولة التي استخدمتها لإنشاء الحساب ، ولكن استخدم مزود خدمة إنترنت مختلف أو حالة مختلفة قليلاً. تأكد من أنه ليس نفس ال IP.
# 4. اكتب البريد الإلكتروني وكلمة المرور على متصفح الويب أو التطبيق ومعرفة ما إذا كان يسمح لك بتسجيل الدخول. null
# 5. إذا كان يتيح لك تسجيل الدخول بدون مصادقة ثنائية 2FA ، فهو نظام 2FA ناعم soft ويمكن تجاوزه بسهولة. اما إذا لم يسمح لك بتسجيل الدخول بدون مصادقة ثنائية 2FA ، فهذا نظام مصادقة ثنائية 2FA صارم strict ولكن لا يزال من الممكن تجاوزه.
إذا كان نظام 2FA صارمًا ، فاستمر وحدد نوع 2FA.
أنواع المصادقة الثنائية 2FA
- OTP CODE: (يرسل رمزًا للمستخدم عبر الرسائل القصيرة أو البريد الإلكتروني)
- Notification: (يرسل المستخدم إشعارًا على أحد التطبيقات حيث يضغط على نعم / لا)
- Authenticator (الأكثر صعوبة – اطلب من المستخدم تقديم رمز من تطبيق المصادقة المضبوط مسبقًا)
تخطي المصادقة الثنائية الناعمة SOFT 2FA
# 1. قم بتسجيل حساب الضحية الذي تريد تسجيل الدخول إليه عن طريق البحث العكسي عن اسم المستخدم أو البريد الإلكتروني للحصول على اسمه وعنوانه و مدينته وما إلى ذلك.
# 2. احصل على بروكسي 4G LTE الموجود في نفس المدينة مثلهم.
# 3. قم بتشغيل محاكي Android وقم بتنزيل تطبيق الشركة إذا كان لديهم واحد. إذا لم يكن الأمر كذلك، فانتقل إلى موقعهم على الويب.
# 4. تسجيل الدخول إلى حسابهم. طالما أنك تصل الى api للهاتف على التطبيق // لديك مستخدم للجوال // تستخدم 4G LTE في نفس المدينة في هذه الحالة يجب أن تسجل دخولك مباشرة بدون 2FA تمامًا كما فعلت لحسابك الشخصي لقد أنشئته للتو!
تجاوز 2FA الصارمة (الهندسة الاجتماعية):
لتجاوز المصادقة الثنائية 2FA الصارمة، ستحتاج إلى الحصول على رمز 2FA بطريقة أو بأخرى من الضحية. يمكن تحقيق ذلك إما من خلال التصيد الاحتيالي أو الهندسة الاجتماعية للحصول على رمز المصادقة الثنائية. من أجل الحفاظ على هذا الدليل أساسيًا وعدم قضاء 5 ساعات من يومي في كتابته ، لن أقوم بتضمين برنامج تعليمي للتصيد الاحتيالي ولكن يمكنني القيام بذلك في المستقبل.
1. إرسال رمز OTP إلى البريد الإلكتروني / الرسائل القصيرة
# 1. اتصل بالضحية عبر الهاتف متظاهرًا بأنك من الشركة. أخبره بوجود تسجيل دخول مشبوه إلى حسابه واقرأ بعض تفاصيله لبناء الثقة. من الواضح أنك ستحتاج إلى الكشف عن هويته. سأنشر برنامجًا تعليميًا حول هذا الأمر قريبًا وأرفق رابطًا له هنا.
# 2. أخبره أنك بحاجة إلى تأمين حسابه وأخبره أنك سوف ترسل رمزًا إلى بريده الإلكتروني / هاتفه الذي يحتاج إلى تأكيده.
# 3. انتقل إلى موقع الويب واطلب منه إرسال رمز 2FA. ثم اطلب منه قراءته عبر الهاتف. سيكون هذا أسهل بكثير إذا لم تتضمن رسالة 2FA من الموقع بعض الهراء مثل “لن يطلب موظفنا هذا الرمز أبدًا” وهو أمر بدأوا في القيام به. إذا تضمن ذلك ، فقد تحتاج إلى البدء في التفكير خارج الصندوق. لهذا ، لدينا طريقة 2 لتجاوز المصادقة الثنائية!
2. رمز OTP المرسل عن طريق الرسائل القصيرة
هذه طريقة فائقة الجودة استخدمتها أنا وفريقي لفترة من الوقت. من الأفضل أن أكسب بعض السمعة الإيجابية أو بعض المديح لأن الكثير يبيعونها بأسعار مرتفعة.
# 1. اكتشف التنسيق الدقيق لـ 2FA SMS التي ترسلها الشركة دائمًا.مثال: “GOOGLE: Your 2fa code is G-487753“
# 2. احصل على رقم Google Voice أو مزود خدمة رسائل نصية مشابه وابدأ في إرسال رسائل نصية تحتوي على رموز 2FA مزيفة للضحية باستخدام تنسيق الشركة المناسب بحيث تبدو وكأنها رموز حقيقي. افعل ذلك مرتين إلى ثلاث مرات يوميًا لمدة يوم أو يومين.
# 3. أرسل إلى الضحية رسالة قصيرة من نفس الرقم الذي كنت ترسله لهم رموز 2fa مزيفة بعد يومين. اجعل الرسائل القصيرة تقول شيئًا على غرار “لقد اكتشفنا نشاطًا مريبًا في حسابك. يرجى الرد بالرمز الذي أرسلناه لتأكيد ان هذا أنت وتأمين حسابك “.
# 4. انتقل إلى صفحة تسجيل الدخول إلى حسابهم مباشرة بعد ذلك واطلب من الشركة إرسال رسائل قصيرة إليهم.
# 5. إذا كانوا أغبياء، فسيصدقون أن هذه هي الشركة الحقيقية نظرًا لأنك كنت ترسل رموزًا مزيفة لمدة 48 ساعة، وسيستجيبون لرسالتك النصية عبر Google Voice باستخدام رمز OTP.
طريقة NOTIFICATION 2FA
1. أرسل لهم رسائل غير مرغوب فيها عبر هواتفهم المحمولة حتى ينقروا على زر القبول. قد تضحك الآن، ولكن هذه هي بالضبط الطريقة التي تمكن بها جيت أليكس جراهام، أياً كان اسمه، من الوصول إلى بيانات تسجيل الدخول وكلمات المرور لموظفي تويتر واختراق حسابات جميع الشخصيات المشهورة على تويتر في عام 2020. وهو الآن في السجن لأنه استخدم تقنية Monkey Opsec، ولكن هذا لا يزال عمليًا.
إذا كنت تريد القيام بذلك بشكل صحيح، فقم بإنشاء برنامج يعتمد على الطلبات لإرسال طلبات عشوائية حتى تتمكن من إرسال أكثر من 200 طلب في الدقيقة. العديد من الشركات الصغيرة وبوابات الموظفين متخلفة جدًا عن الحد الأقصى للسرعة وحتى إذا فعلت ذلك، فيمكن تجاوزه باستخدام rotating proxy.
طريقة تطبيق المصادقة AUTHENTICATOR
أدخل معلومات تسجيل الدخول في حساب Gmail الخاص بك باستخدام المعلومات المذكورة أعلاه ثم قم بتسجيل الدخول إلى تطبيق Google Auth واستخرج الرمز بنفسك. يرتبط تطبيق Google Authenticator بالكامل بحسابات Google. اشكرني لاحقًا.
