据外媒报道，2019年年初，一名波兰安全研究人员发布了一个新的渗透测试工具，名为Modlishka。该工具可以非常轻松地进行自动化钓鱼攻击，甚至可以破解登录受2FA（双因子验证）保护的账户。

　　Modlishka是IT专业人士所称的反向代理服务器，但经修改后可用于登录页面和钓鱼操作。

　　Modlishka位于用户和目标网站（如Gmail、Yahoo或ProtonMail）之间。当受害者连接到Modlishka服务器（托管钓鱼域名），它后面的反向代理组件便向模拟的站点发出请求。受害者虽然从合法站点接收到真实的内容，但是受害者与合法站点所有的通信量和交互信息都经过并记录在Modlishka服务器上。

　　用户输入的密码都将自动记录到Modlishka后端面板。当用户申请账户2FA令牌时，反向代理还会提示用户输入2FA令牌。如果攻击者能够实时收集这些2FA令牌，他们可以登录受害者的帐户并建立新的合法会话。

　　Modlishka设计简单，不需使用任何“模板”。所有内容能从合法站点实时获取，因此攻击者不需要花费很多时间更新和调整模板。攻击者只需要一个钓鱼域名(用于Modlishka服务器上)和一个有效的TLS证书，以避免用户收到缺少HTTPS连接的警告。

　　最后一步是配置一个简单的配置文件，在受害者发现自己进入钓鱼网站之前，让受害者进入真正的站点。

　　Modlishka的研究人员表示，与以往的钓鱼工具不同，Modlishka是一个点击式的自动化系统，维护成本很低。

　　该研究人员称，他在2018年初开始这个项目时，主要想编写一个易于使用的工具，这样就不需要在每一次钓鱼活动时准备静态网页模板。作为MITM（中间人攻击）的参与者，创建通用且易于自动化的反向代理似乎是最好的方法。

　　他还表示，这个工具改变了之前钓鱼工具的规则，点击即可实现反向代理，可对2FA自动进行钓鱼操作（但无法钓鱼基于U2F协议的令牌）。工具用于JavaScript混淆代码或是HTML标签安全属性(如integrity)时，需要手动调整。但工具也支持在这些情况下使用，后续也将继续升级工具版本。

　　国际特赦组织在2018年12月发布的一份报告称，由国家资助的黑客已经开始使用可以绕过2FA的网络钓鱼系统。

　　许多人担心Modlishka工具会降低网络钓鱼难度，“脚本小子”在几分钟内便可建立钓鱼网站。此外，网络犯罪团伙能利用这个工具轻松地自动创建钓鱼网页。

　　研究员为什么在GitHub上发布了这样一个危险的工具?他表示，如果没有事实能证明理论上的风险，就无法采取措施解决这些问题。

　　虽然Modlishka工具可以自动绕过基于SMS和一次性密码的2FA进行钓鱼，但无法绕过基于U2F协议的硬件安全密钥。

　　E安全注：本文系E安全由国外公开媒体搜集并独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。

本文来源：SecYe安全网[http://www.secye.com] (责任编辑：SecYe安全)

• ·美国230万灾难幸存者隐私信息恐遭泄露
• ·详解Laravel 5.8 SQL注入漏洞
• ·总结回望丨2018年十大Web黑客技术榜单
• ·新型漏洞thunderclap 允许黑客用数据线攻
• ·美国杰克逊县遭遇黑客勒索攻击，政府无奈
• ·2名黑客利用App窃取私密数据 被Facebook
• ·微软宣布已经识别出与伊朗黑客相关的网络
• ·2019年网络安全热词及解释
• ·英特尔CPU再现高危漏洞 得到官方证实可泄
• ·2019年全球网络安全热词排行榜
• ·19岁白帽子通过 bug 悬赏赚到一百万美元
• ·百度百科、搜狗百科外链跳转色情网站，过
• ·网络安全人才短缺加剧，企业如何不拘一格
• ·Kali Linux 2019.1发布 – 黑客操作系统
• ·滥用ThinkPHP漏洞的僵尸网络Hakai和Yowai
• ·警惕：16个网站6.17亿条个人信息暗网开售