Noll
Bild: Piotr Duszyński
Ett nytt verktyg penetrationstester publiceras i början av året av en säkerhetsforskare kan automatisera phishing-attacker med en lätthet aldrig sett förut och kan även blåsa genom inloggning transaktioner för de konton som skyddas av tvåfaktorsautentisering (2FA).
Heter Modlishka –det engelska uttalet av det polska ordet för mantis– detta nya verktyg som skapades av polska forskare Piotr Duszyński.
Modlishka är vad DET professionella samtal en reverse proxy, men modifierad för att hantera trafiken avsedd för login sidor och phishing verksamhet.
Bild: ZDNet
Det sitter mellan en användare och ett mål webbplats-som Gmail, Yahoo, eller ProtonMail. Phishing offer ansluta till Modlishka server (webbhotell en phishing-domän), och reverse proxy komponent bakom det gör förfrågningar till platsen som det vill utge sig för att vara.
Offret får autentiskt material från den legitima plats –låt oss säga till exempel Google-men all trafik och alla offer samverkan med legitim webbplats som passerar igenom och registreras på Modlishka server.
Modlishka backend panel
Bild: Piotr Duszyński
Alla lösenord som en användare kan ange, blir automatiskt inloggad i Modlishka backend panel, medan reverse proxy också uppmanas användare för 2FA tokens när användare har konfigurerat sina konton för att begära ett sådant.
Om en angripare är på plats för att samla in dessa 2FA insats i realtid, de kan använda dem för att logga in offrens räkenskaper och upprätta nya och berättigade sessioner.
Videon nedan visar hur en Modlishka-drivna webbplats för nätfiske som sömlöst läser in innehåll från den verkliga Google-logga in gränssnitt utan att använda mallar och loggar referenser och eventuella 2FA kod som en användare kan se.
På grund av denna enkla design, Modlishka inte använda någon “mallar”, en term som används av bedragare för att beskriva kloner av legitima webbplatser. Eftersom allt innehåll är hämtat från den legitima webbplats i realtid, anfallare behöver inte spendera mycket tid på att uppdatera och finjustering av mallar.
Istället, alla angripare behöver är en phishing-domännamn (för att vara värd på Modlishka server) och ett giltigt TLS-certifikat för att undvika att varna användare av bristen på en HTTPS-anslutning.
Det sista steget skulle vara att konfigurera en enkel config-fil som lastar offer på de riktiga legitima webbplatser i slutet av phishing drift innan de plats sketchy-ser phishing domän.
I ett e-postmeddelande till ZDNet Duszyński beskrivs Modlishka som ett peka-och-klicka och lätt att automatisera system som kräver minimalt med underhåll, till skillnad från tidigare phishing verktyg som används av andra penetration testare.
“På den tiden när jag började detta projekt (vilket var i början av 2018), mitt främsta mål var att skriva ett enkelt att använda verktyg, som skulle eliminera behovet av att förbereda sig för statisk webbsida mallar för varje phishing-kampanj som jag genomförde,” forskaren berättade för oss.
“Strategi för att skapa en universell och enkel att automatisera reverse proxy, som en MITM skådespelare, som verkade vara det mest naturliga riktning. Trots vissa tekniska problem som uppstod på vägen, det övergripande resultatet verkade vara riktigt givande,” tillade han.
“Det verktyg som jag skrev är typ av ett spel-växlare, eftersom det kan användas som en ” peka-klicka ” proxy, som gör det lätt att phishing kampanj för automatisering med fullt stöd av 2FA (ett undantag från detta är en U2F protokoll som bygger värden – som nu är den enda motståndskraftig andra faktorn).
“Det finns vissa fall som kräver manuell inställning (på grund av döljs av JavaScript-kod eller, till exempel, HTML-taggen säkerhet attribut som “integritet”), men dessa är fullt stöds av verktyget och kommer också att förbättras i framtida utgåvor,” Duszyński berättade ZDNet.
En Amnesty-rapport som släpptes i December visade att avancerade statsunderstödda aktörer har redan börjat använda phishing system som kan kringgå 2FA redan.
Nu, många är rädda för att Modlishka skulle minska inträdeshindren för att tillåta så kallade “script kiddies” för att ställa in webbplatser för nätfiske inom några minuter, även med betydligt färre tekniska färdigheter som krävs. Dessutom, skulle detta verktyg tillåter cyber-kriminella grupper för att enkelt automatisera skapandet av phishing-sidor som är lättare att underhålla och svårare att upptäcka av offren.
När vi frågade varför han släppt ett farligt verktyg på GitHub, Duszyński hade en ganska spännande svar.
“Vi måste inse att utan en fungerande proof of concept”, som verkligen bevisar, att den risk som behandlas som teoretisk, och inga riktiga åtgärder vidtas för att ta itu med det ordentligt”, sade han.
“Detta status quo, och brist på kunskap om risk, är en perfekt situation för skadlig aktörer som lyckligtvis kommer att utnyttja det.”
Duszyński sade att medan hans verktyg kan automatisera processen för en webbplats för nätfiske som passerar genom 2FA kontroller baserade på SMS och engångskoder, Modlishka är ineffektiva mot U2F-baserade system som förlitar sig på hårdvara säkerhetsnycklar.
Modlishka är för närvarande tillgänglig på GitHub under en open source-licens. Ytterligare information finns också tillgänglig på Duszyński blogg.
Mer it nyheter:
Telefonen bedragare stjäl miljarder varje år genom ett system som kallas IRSFG Suite-uppdatering som varnar dig när någon är exporterande företagets data
Ansiktsigenkänning fungerar inte som tänkt på 42 110 testade smartphonesSecurity forskare sprickor Googles Widevine DRM (L3)
Ny hårdvara-agnostiker sida-kanal attack fungerar mot Windows och LinuxMost hem routrar inte dra nytta av Linux förbättrade funktioner säkerhet
Google nu kan du skänka pengar till välgörenhet via Play Butik CNETFrom 1990-talet i Internet Explorer Microsoft Kanten: Klassiska Windows webbläsare TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0