Zero
Immagine: Piotr Duszyński
Un nuovo strumento di test di penetrazione, pubblicato all’inizio di quest’anno, da un ricercatore di sicurezza in grado di automatizzare gli attacchi di phishing con una facilità mai vista prima, e può anche soffiare attraverso operazioni di login per l’account protetto da autenticazione a due fattori (2FA).
Nome Modlishka –la pronuncia inglese della parola polacca per mantis– questo nuovo strumento è stato creato da ricercatore polacco Piotr Duszyński.
Modlishka è quello che i professionisti di chiamare un reverse proxy, ma è stato modificato per gestire un traffico di significato per le pagine di login e operazioni di phishing.
Immagine: ZDNet
Si trova tra un utente e un sito web di destinazione, come Gmail, Yahoo, o ProtonMail. Phishing vittime connettersi al Modlishka server (hosting di phishing (dominio), e il proxy inverso componente dietro di esso rende le richieste per il sito vuole rappresentare.
La vittima riceve un contenuto autentico il sito legittimo –diciamo per esempio Google, ma tutto il traffico e tutte le vittime delle interazioni con il sito legittimo che passa attraverso e viene registrata sul Modlishka server.
Modlishka pannello di backend
Immagine: Piotr Duszyński
Tutte le password di un utente può inserire, sono automaticamente registrati nel Modlishka backend pannello, mentre il reverse proxy, inoltre, avvisa gli utenti per 2FA token quando gli utenti hanno configurato i loro conti per la richiesta di uno.
Se gli attaccanti sono a portata di mano per raccogliere questi 2FA gettoni in tempo reale, si possono usare per accedere vittime’ conti e stabilire nuove e legittime le sessioni.
Il video qui sotto mostra come un Modlishka-powered sito di phishing che si carichi il contenuto reale di Google interfaccia di login senza l’utilizzo di modelli e registri di credenziali e qualsiasi 2FA codice che un utente potrebbe essere visto.
A causa di questo design semplice, Modlishka non utilizzare alcun “modelli”, un termine usato dai phisher per descrivere cloni di siti legittimi. Dal momento che tutto il contenuto è stato recuperato dal sito legittimo, in tempo reale, gli aggressori non hanno bisogno di trascorrere molto tempo all’aggiornamento ed il perfezionamento di modelli.
Invece, tutti gli attaccanti hanno bisogno di un tentativo di nome di dominio (ad ospitare sul Modlishka server) e di un valido certificato TLS per evitare di avvisi agli utenti della mancanza di una connessione HTTPS.
L’ultimo passo sarebbe quello di configurare un semplice file di configurazione che scarica le vittime sul reale da siti legittimi al termine dell’operazione di phishing prima che posto il disegnati a mano-alla ricerca di phishing dominio.
In una e-mail a ZDNet, Duszyński descritto Modlishka come un punto-e-clicca e facile da automatizzare sistema che richiede una manutenzione minima, a differenza dei precedenti phishing toolkit utilizzato da altri penetration tester.
“Quando ho iniziato questo progetto (che all’inizio del 2018), il mio scopo principale era quello di scrivere un attrezzo di facile impiego, che eliminerebbe la necessità di preparare pagina web statica di modelli per ogni campagna di phishing che stavo portando fuori”, il ricercatore ci ha detto.
“L’approccio di creazione di un universale e facile da automatizzare proxy inverso, come un MITM attore, sembra essere il più naturale direzione. Nonostante alcuni problemi tecnici, che sono emersi in questo percorso, il risultato complessivo sembrava essere davvero gratificante”, ha aggiunto.
“Lo strumento che ho scritto è una sorta di cambio di gioco, dal momento che può essere utilizzato come un ‘punto e fare clic su” proxy, che permette una facile campagna di phishing di automazione con il pieno sostegno delle 2FA (un’eccezione a questo è un U2F protocollo token – di cui è attualmente il solo resistente secondo fattore).
“Ci sono alcuni casi che richiedono una sintonizzazione manuale (a causa di codice JavaScript offuscato o, per esempio, HTML tag attributi di sicurezza come “integrità”), ma questi sono completamente supportati dallo strumento e sarà anche migliorato nelle versioni future,” Duszyński detto a ZDNet.
Un rapporto di Amnesty International pubblicato nel mese di dicembre ha mostrato che avanzato stato sponsorizzato da attori hanno già iniziato a utilizzare sistemi di phishing in grado di ignorare la 2FA già.
Ora, sono in molti a temere che Modlishka consentirebbe di ridurre la barriera di ingresso per consentire il cosiddetto “script kiddies” per impostare i siti di phishing in pochi minuti, anche con meno competenze tecniche necessarie. Inoltre, questo strumento potrebbe consentire cyber-crimine gruppi di automatizzare la creazione di pagine di phishing che sono più facili da mantenere e più difficile da rilevare dalle vittime.
Quando abbiamo chiesto perché, ha rilasciato ad un pericoloso strumento su GitHub, Duszyński era abbastanza intrigante risposta.
“Dobbiamo affrontare il fatto che, senza una prova di concetto, che dimostra davvero il punto, il rischio è considerato come teorico e non reale, e le misure adottate per affrontare correttamente,” ha detto.
“Questo status quo, e la mancanza di consapevolezza circa il rischio, è una situazione ideale per la dannosi attori che sarà lieto di sfruttare.”
Duszyński ha detto che, mentre il suo strumento in grado di automatizzare il processo di un sito di phishing che passa attraverso 2FA controlli basati su SMS e codici, Modlishka è inefficiente contro U2F a base di regimi che si basano su hardware chiavi di sicurezza.
Modlishka è attualmente disponibile su GitHub sotto una licenza open source. Ulteriori informazioni sono disponibili anche sul Duszyński blog.
Più sicurezza informatica notizie:
Telefono truffatori rubano miliardi ogni anno attraverso un programma noto come IRSFG aggiornamento della Suite avverte quando qualcuno sta esportando i dati della tua azienda
Il riconoscimento facciale non funziona come previsto, 42 di 110 testato smartphonesSecurity ricercatore crepe di Google Widevine DRM (L3)
Nuovo hardware canale laterale attacco funziona con Windows e LinuxMost router di casa non approfittano di Linux funzionalità di sicurezza avanzate
Google now permette di donare in beneficenza tramite il Play Store CNETFrom 1990 Internet Explorer di Microsoft Bordo: Classica di Windows, browser TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0