天创培训:您身边的信息安全培训专家!
开班计划
2019年4月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2019年4月16日-21日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

波兰研究员发布新工具,能自动绕过2FA进行钓鱼攻击

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2019-01-10  关键词:钓鱼攻击

据外媒报道,2019年年初,一名波兰安全研究人员发布了一个新的渗透测试工具,名为Modlishka。该工具可以非常轻松地进行自动化钓鱼攻击,甚至可以破解登录受2FA(双因子验证)保护的账户。

Modlishka是IT专业人士所称的反向代理服务器,但经修改后可用于登录页面和钓鱼操作。

波兰研究员发布新工具,能自动绕过2FA进行钓鱼攻击

Modlishka位于用户和目标网站(如Gmail、Yahoo或ProtonMail)之间。当受害者连接到Modlishka服务器(托管钓鱼域名),它后面的反向代理组件便向模拟的站点发出请求。受害者虽然从合法站点接收到真实的内容,但是受害者与合法站点所有的通信量和交互信息都经过并记录在Modlishka服务器上。

用户输入的密码都将自动记录到Modlishka后端面板。当用户申请账户2FA令牌时,反向代理还会提示用户输入2FA令牌。如果攻击者能够实时收集这些2FA令牌,他们可以登录受害者的帐户并建立新的合法会话。

Modlishka设计简单,不需使用任何“模板”。所有内容能从合法站点实时获取,因此攻击者不需要花费很多时间更新和调整模板。攻击者只需要一个钓鱼域名(用于Modlishka服务器上)和一个有效的TLS证书,以避免用户收到缺少HTTPS连接的警告。

最后一步是配置一个简单的配置文件,在受害者发现自己进入钓鱼网站之前,让受害者进入真正的站点。

Modlishka的研究人员表示,与以往的钓鱼工具不同,Modlishka是一个点击式的自动化系统,维护成本很低。

该研究人员称,他在2018年初开始这个项目时,主要想编写一个易于使用的工具,这样就不需要在每一次钓鱼活动时准备静态网页模板。作为MITM(中间人攻击)的参与者,创建通用且易于自动化的反向代理似乎是最好的方法。

他还表示,这个工具改变了之前钓鱼工具的规则,点击即可实现反向代理,可对2FA自动进行钓鱼操作(但无法钓鱼基于U2F协议的令牌)。工具用于JavaScript混淆代码或是HTML标签安全属性(如integrity)时,需要手动调整。但工具也支持在这些情况下使用,后续也将继续升级工具版本。

国际特赦组织在2018年12月发布的一份报告称,由国家资助的黑客已经开始使用可以绕过2FA的网络钓鱼系统。

许多人担心Modlishka工具会降低网络钓鱼难度,“脚本小子”在几分钟内便可建立钓鱼网站。此外,网络犯罪团伙能利用这个工具轻松地自动创建钓鱼网页。

研究员为什么在GitHub上发布了这样一个危险的工具?他表示,如果没有事实能证明理论上的风险,就无法采取措施解决这些问题。

虽然Modlishka工具可以自动绕过基于SMS和一次性密码的2FA进行钓鱼,但无法绕过基于U2F协议的硬件安全密钥。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000