欢迎来到pc蛋蛋28!

该工具使用了反向代理方法

作者:admin 发布时间:2019-03-10 23:59

  一位安全研究人员发布了一种工具,该工具可以绕过在Gmail和Yahoo等平台上广泛使用的大量双因素身份验证(2FA)方案。波兰研究员PiotrDuszyński在GitHub上发布了他的工具,该工具使用了反向代理方法, 并附有逐步指南,概述了如何在网络钓鱼骗局中使用它来破坏用户凭据和2FA代码 - 在一个例子中反对Google的安全障碍。

  部署后,该工具会将名为Modlishka的服务器放置在网络钓鱼目标和安全平台(如Gmail)之间,网络钓鱼受害者会无意中连接到该网络以输入登录详细信息。

  在假设的网上诱骗广告系列中,目标用户会遇到一封恶意电子邮件,其中包含指向模仿Google登录程序的代理服务器的链接。然后,用户将输入他们的用户名和密码,然后输入2FA代码(例如通过文本消息接收),所有这些代码都将被收集并保存在代理服务器上。

  使用Modlishka(绕过2FA)从Piotr Duszynski在Vimeo上进行网络钓鱼。为了使攻击成功,将要求恶意行为者实时监视此过程,并在过期之前输入2FA代码以获得进入。由于其简单性,假设使用Modlishka编排网络钓鱼活动的攻击者不需要像通常那样重新创建任何网站。所需要的只是网络钓鱼域和有效的TLS证书。

  “那么问题出现了,2FA被打破了吗?” Duszyński说。“完全没有,但是通过一个正确的反向代理,通过一个加密的,浏览器信任的通信渠道来定位您的域名,在注意到某些内容严重错误时,确实会遇到严重困难。

  “添加不同的浏览器错误,允许URL栏欺骗,问题可能更大。包括缺乏用户意识,它实际上意味着在银盘上向你的对手赠送你最宝贵的资产。”

  他说这个工具仅用于渗透测试和教育目的,因此对2FA作为防御入侵者和恶意行为者的有效保护层表示怀疑。特别是,Modlishka可用于使网络钓鱼活动“尽可能有效”。

  他补充说,从技术角度解决这个问题的唯一方法是依靠基于通用第二因子协议(U2F)的硬件令牌; 这是专门用作身份验证模块的硬件设备,不需要用户手动输入代码。

  最近几个月,常见的2FA例程的可靠性已经暴露出来,特别是由于社会新闻聚合器Reddit去年由于其安全性不足而导致的大规模数据泄露事件。

  在拦截了少数员工基于SMS的2FA设置并获得对其帐户的访问权限后,恶意行为者取消了大量用户凭据,包括电子邮件地址。

  Reddit的首席技术官Chris Slowe表示,事件发生后,该公司意识到基于短信的2FA“并不像我们希望的那样安全”,并建议所有人都转移到基于令牌的2FA。

  与此同时,据报道,去年发现的一种恶意软件被称为漫游螳螂,据报道,这种攻击基于针对Android的攻击机制,该机制破解了2FA并劫持了用户的谷歌帐户。

  安全专家Graham Cluley告诉 IT专业人员 该工具可以在实践中发挥作用,但用户可以通过使用基于硬件的2FA或密码管理器来保护自己免受Modlishka中心网络钓鱼活动的影响。

  “阅读有关Modlishka的消息听起来似乎有用,代理真实网站的内容,使网络钓鱼网站非常可信,并拦截输入的任何信息,如密码和2FA代码,”他说。

  “2FA代码往往受时间限制,通常每30秒更换一次。因此,攻击者可能必须实时监控网络钓鱼,以最大限度地提高帐户访问权限。

  “因此,这是一个令人印象深刻的演示 - 但用户应继续使用密码管理器,唯一密码,并尽可能启用2FA。”

上一篇:作为鱼饵供租船人免费使用

下一篇:在几乎承受不了它们身体重量的枝头上孤零零的