波兰研究员发布新工具,能自动绕过2FA进行钓鱼攻击
据外媒报道,2019年年初,一名波兰安全研究人员发布了一个新的渗透测试工具,名为Modlishka。该工具可以非常轻松地进行自动化钓鱼攻击,甚至可以破解登录受2FA(双因子验证)保护的账户。
Modlishka是IT专业人士所称的反向代理服务器,但经修改后可用于登录页面和钓鱼操作。
Modlishka位于用户和目标网站(如Gmail、Yahoo或ProtonMail)之间。当受害者连接到Modlishka服务器(托管钓鱼域名),它后面的反向代理组件便向模拟的站点发出请求。受害者虽然从合法站点接收到真实的内容,但是受害者与合法站点所有的通信量和交互信息都经过并记录在Modlishka服务器上。
用户输入的密码都将自动记录到Modlishka后端面板。当用户申请账户2FA令牌时,反向代理还会提示用户输入2FA令牌。如果攻击者能够实时收集这些2FA令牌,他们可以登录受害者的帐户并建立新的合法会话。
Modlishka设计简单,不需使用任何“模板”。所有内容能从合法站点实时获取,因此攻击者不需要花费很多时间更新和调整模板。攻击者只需要一个钓鱼域名(用于Modlishka服务器上)和一个有效的TLS证书,以避免用户收到缺少HTTPS连接的警告。
最后一步是配置一个简单的配置文件,在受害者发现自己进入钓鱼网站之前,让受害者进入真正的站点。
Modlishka的研究人员表示,与以往的钓鱼工具不同,Modlishka是一个点击式的自动化系统,维护成本很低。
该研究人员称,他在2018年初开始这个项目时,主要想编写一个易于使用的工具,这样就不需要在每一次钓鱼活动时准备静态网页模板。作为MITM(中间人攻击)的参与者,创建通用且易于自动化的反向代理似乎是最好的方法。
他还表示,这个工具改变了之前钓鱼工具的规则,点击即可实现反向代理,可对2FA自动进行钓鱼操作(但无法钓鱼基于U2F协议的令牌)。工具用于JavaScript混淆代码或是HTML标签安全属性(如integrity)时,需要手动调整。但工具也支持在这些情况下使用,后续也将继续升级工具版本。
国际特赦组织在2018年12月发布的一份报告称,由国家资助的黑客已经开始使用可以绕过2FA的网络钓鱼系统。
许多人担心Modlishka工具会降低网络钓鱼难度,“脚本小子”在几分钟内便可建立钓鱼网站。此外,网络犯罪团伙能利用这个工具轻松地自动创建钓鱼网页。
研究员为什么在GitHub上发布了这样一个危险的工具?他表示,如果没有事实能证明理论上的风险,就无法采取措施解决这些问题。
虽然Modlishka工具可以自动绕过基于SMS和一次性密码的2FA进行钓鱼,但无法绕过基于U2F协议的硬件安全密钥。
E安全注:本文系E安全由国外公开媒体搜集并独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。
本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)
- ·黑客冒充跨国集团总部CEO:诈骗印度分公
- ·波兰研究员发布新工具,能自动绕过2FA进
- ·国警方抓获网络攻击事件黑客:或面临三年
- ·爆破流DDOS团伙ChinaZ的流程记录
- ·2019年技术人才需求趋势:大数据、云和网
- ·腾讯微信PC端疑似被挂Coinhive.A木马?
- ·Facebook 发现安全漏洞:黑客可控制 5000
- ·英国保守党会议应用程序漏掉了国会议员的
- ·软件供应链安全 | Python Fake Package引
- ·ThinkPHP v5.1.22曝出SQL注入漏洞
- ·用户名“admin”、密码“123456”,乌克
- ·为什么会出现网络威胁?它来自于哪方面?
- ·人工智能公司在网络安全方面争先恐后-黑
- ·苹果并不绝对安全,iPhone可能泄露企业Wi
- ·多种使用SMB端口远程连接PC的方法介绍
- ·女子网贷两千元要还15万 警方跨省抓捕7名
- ·黑客冒充跨国集团总部CEO:诈骗印度分公司1
- ·波兰研究员发布新工具,能自动绕过2FA进行
- ·国警方抓获网络攻击事件黑客:或面临三年刑
- ·爆破流DDOS团伙ChinaZ的流程记录
- ·2019年技术人才需求趋势:大数据、云和网络
- ·腾讯微信PC端疑似被挂Coinhive.A木马?
- ·Facebook 发现安全漏洞:黑客可控制 5000
- ·英国保守党会议应用程序漏掉了国会议员的个
- ·软件供应链安全 | Python Fake Package引发
- ·ThinkPHP v5.1.22曝出SQL注入漏洞
- ·用户名“admin”、密码“123456”,乌克兰
- ·为什么会出现网络威胁?它来自于哪方面?
- ·人工智能公司在网络安全方面争先恐后-黑客
- ·苹果并不绝对安全,iPhone可能泄露企业WiFi
- ·多种使用SMB端口远程连接PC的方法介绍
- ·国外整理的一套在线渗透测试资源合集
- ·最新最全的KCon 2016 顶级黑客议题PPT
- ·二代身份证可能导致身份信息泄露
- ·白帽子谈云安全:Google驶于黑客共舞的最前
- ·中国最大的Webshell后门箱子调查,所有公开
- ·详解Android.FakeInstaller恶意伪装程序
- ·wooyun乌云镜像最新版
- ·美国老牌黑客往事:控制电台全部电话
- ·长假黑客不休息 网络安全别大意
- ·信息安全专业的学生应该如何进入该行业?
- ·美票务巨头Ticketfly遭黑客勒索比特币
- ·软件供应链安全 | Python Fake Package引发
- ·浅谈一个电商网站“钓鱼”案例
- ·“黑店主”发送假链接 网友被骗千余元
- ·每日安全资讯:黑客设计的6美金安全工具能