Nul
Billede: Piotr Duszyński
En ny penetration test værktøj, der offentliggøres i begyndelsen af året med en sikkerhedsekspert kan automatisere phishing-angreb med en lethed aldrig har set før, og kan endda blæse gennem login operationer for konti, der er beskyttet af to-faktor autentificering (2FA).
Opkaldt Modlishka –den engelske udtale af det polske ord for mantis– dette nye værktøj blev skabt af den polske forsker Piotr Duszyński.
Modlishka er, hvad DET fagfolk kalder en reverse proxy, men modificeret til håndtering trafik beregnet til login-sider og phishing-operationer.
Billede: ZDNet
Det sidder mellem en bruger og et mål website –som Gmail, Yahoo, eller ProtonMail. Phishing ofre oprette forbindelse til Modlishka server (hosting et phishing-domæne), og reverse proxy-komponent bag det gør anmodninger til det websted, der ønsker at udgive.
Offeret modtager autentisk indhold fra det legitime websted, –lad os sige, for eksempel Google-men al trafik og alle de ofre samspil med det legitime websted passerer igennem, og er indspillet på Modlishka server.
Modlishka backend panel
Billede: Piotr Duszyński
Eventuelle adgangskoder, en bruger kan indtaste, er automatisk registreret i Modlishka backend-panelet, mens reverse proxy-også beder brugerne til 2FA tokens, når brugerne har konfigureret deres konti til at anmode om én.
Hvis angriberne er klar til at indsamle disse 2FA indsats i real-tid, de kan bruge dem til at logge ind på ofrenes konti og oprette nye og legitime sessioner.
Nedenstående video viser, hvordan en Modlishka-drevet phishing-websted, der problemfrit indlæser indhold fra den virkelige Google login interface, uden brug af skabeloner, og logger legitimationsoplysninger og enhver 2FA kode, som en bruger kan se.
På grund af det enkle design, Modlishka ikke bruger nogen “skabeloner”, en term, der bruges af phishere at beskrive kloner af legitime websteder. Da alt indhold er hentet fra det legitime websted i realtid, angribere behøver ikke at bruge meget tid på at opdatere og fine-tuning skabeloner.
I stedet, alle angribere har brug for, er en phishing-domain name (for at være vært på Modlishka server) og en gyldig TLS-certifikat for at undgå at advare brugere af manglen på en HTTPS-forbindelse.
Den endelige skridt ville være at konfigurere et simpelt config-fil, der lander ofre på virkelige legitime websteder i slutningen af phishing-drift, før de får øje på de magre-leder phishing-domæne.
I en e-mail til ZDNet, Duszyński beskrevet Modlishka som en peg-og-klik og nem at automatisere system, der kræver minimal vedligeholdelse, i modsætning til tidligere phishing-biblioteker, der anvendes af andre penetration testere.
“På det tidspunkt, hvor jeg startede dette projekt (som var i begyndelsen 2018), vil mit primære mål var at skrive en nem at bruge værktøj, der vil eliminere behovet for at forberede statisk webside skabeloner for hver phishing-kampagne, som jeg var i færd ud,” den forsker, der fortalte os.
“Den tilgang om at skabe en universel og let at automatisere reverse proxy, som et MITM-skuespiller, syntes at være det mest naturlige retning. På trods af visse tekniske udfordringer, der opstod på denne vej, er det samlede resultat viste sig at være rigtig givende,” tilføjede han.
“Det værktøj, som jeg skrev, er lidt af en game changer, da det kan bruges som en “peg og klik” proxy, der gør det nemt at phishing-kampagne, automation med fuld støtte af 2FA (en undtagelse til dette er en U2F-protokollen er baseret tokens – der er i øjeblikket kun modstandsdygtige anden faktor).
“Der er nogle sager, der kræver manuel tuning (på grund af uklar JavaScript-kode, eller, for eksempel, HTML-tag sikkerhed attributter som “integritet”), men disse er fuldt understøttet af værktøj og vil også blive forbedret i de kommende udgivelser,” Duszyński fortalte ZDNet.
En Amnesty International rapport udgivet i December viste, at avancerede statssponsorerede aktører, der allerede er begyndt at bruge phishing-systemer, der kan omgå 2FA allerede.
Nu, mange frygter, at Modlishka ville reducere den barriere for adgangen til at tillade såkaldte “script kiddies” for at konfigurere phishing-websteder inden for få minutter, endda med langt færre tekniske færdigheder, der kræves. Desuden er dette værktøj ville tillade cyber-kriminelle grupper nemt at automatisere oprettelsen af phishing-sider, der er lettere at vedligeholde og sværere at opdage af ofre.
Når vi spurgte, hvorfor han udgivet sådan et farligt redskab på GitHub, Duszyński havde en temmelig spændende svar.
“Vi er nødt til at se i øjnene, at uden en fungerende proof of concept, der virkelig viser sig det punkt, den risiko, der er behandlet teoretisk, og ingen reel foranstaltninger, der er truffet for at imødegå den korrekt,” sagde han.
“Denne status quo, og manglende bevidsthed om den risiko, der er en perfekt situation for ondsindede aktører, der med glæde vil udnytte det.”
Duszyński sagde, at mens hans værktøj kan automatisere processen med et phishing-websted, der passerer gennem 2FA kontrol baseret på SMS og engangs-koder, Modlishka er ineffektivt mod U2F-baserede ordninger, der er afhængige af hardware, sikkerhed nøgler.
Modlishka er i øjeblikket tilgængelig på GitHub under en open source licens. Yderligere information er også tilgængelig på Duszyński ‘ s blog.
Mere cybersecurity nyheder:
Telefon-svindlere at stjæle milliarder hvert år gennem en ordning, der er kendt som IRSFG Suite-opdatering advarer dig, når nogen er eksport af din virksomheds data
Facial anerkendelse virker ikke efter hensigten på 42 af 110 testet smartphonesSecurity forsker revner Googles Widevine DRM (L3)
Ny hardware-agnostisk side-kanal angreb virker mod Windows og LinuxMost hjemme-routere ikke drage fordel af Linux ‘ s forbedrede sikkerhedsfunktioner
Google nu giver dig mulighed for at donere til velgørenhed via Play Butik CNETFrom af 1990’erne, at Internet Explorer Microsoft Kant: den Klassiske Windows browsere TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0