На конференции Hack in the Box в Амстердаме исследователи Мишель Орру и Джузеппе Тротта продемонстрировали разработанные ими инструменты Muraena и NecroBrowser, предназначенные для обхода нескольких технологий двухфакторной аутентификации.
Если сайт использует двухфакторную аутентификацию, мошенникам для кражи паролей недостаточно создать фальшивую страницу входа — им нужно стать посредником в процессе обмена информацией с настоящим сайтом и перехватить одноразовые коды — сеансовые cookie-файлы — с помощью которых пользователь в течение некоторого времени может работать с сайтом, не проходя аутентификацию заново. Разработаны различные технологии защиты от такой атаки, но новые инструменты значительно облегчают и автоматизируют их преодоление. Muraena представляет собой прокси-сервер, автоматически определяющий, какие ресурсы с настоящего сайта нужны для входа и перенаправляющий запросы с компьютера жертвы. После получения cookie-файла Muraena запускает NecroBrowser — микросервис, использующий контейнеризованные инстанции браузера Chromium. Он может запустить одновременно сотни таких инстанций и автоматически выполнять кражу электронной почты, рассылку сообщений и прочие вредоносные действия.
Защиту от подобной атаки может обеспечить использование аппаратных ключей двухфакторной аутентификации, или тщательная проверка адреса страницы, на которой вводится пароль.