2FA verification broken – Παρακάμπτεται η επαλήθευση σε 2 Βήματα
Δυστυχώς φαίνεται ότι έπεσε ένας βασικός και διαδεδομένος πυλώνας ασφάλειας όσον αφορά την αποτροπή κλοπής δεδομένων σύνδεσης σε λογαριασμό με τη χρήση επαλήθευσης σε 2 βήματα 2FA.
Ερευνητής, όχι μόνο ανακάλυψε τη μέθοδο παράκαμψης της, αλλά δημοσίευσε και το λογισμικό σε κοινή θέα.
Όταν τον ρώτησαν γιατί το έκανε, είπε ουσιαστικά «για να τον πάρουν στα σοβαρά» και να βρουν τρόπο αντιμετώπισης οι θιγόμενες υπηρεσίες κι εταιρίες.
Το νέο εργαλείο αυτοματοποιεί τις επιθέσεις ηλεκτρονικού “ψαρέματος” που παρακάμπτουν την 2FA (Επαλήθευση σε 2 Βήματα) 2FA verification broken.
Modlishka @ GitHub |
Είναι ένα νέο εργαλείο δοκιμής διείσδυσης -και ονομάζεται Modlishka – δημοσιεύτηκε στην αρχή του έτους από έναν ερευνητή ασφαλείας και μπορεί να αυτοματοποιήσει τις επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing) «με μια ευκολία που δεν έχει ξαναγίνει ποτέ»
Μπορεί επίσης να χτυπήσει ακόμη και μέσω των λειτουργιών σύνδεσης για λογαριασμούς που προστατεύονται από έλεγχο ταυτότητας δύο βημάτων (2FA).
Ενθυλακώνεται ανάμεσα στον χρήστη και σε έναν ιστότοπο όπως το Gmail, το Yahoo κ.λ.π..
Το θύμα λαμβάνει αυθεντικό περιεχόμενο από το νόμιμο ιστότοπο – για παράδειγμα το Google – αλλά όλη διακίνηση δεδομένων και όλες οι αλληλεπιδράσεις του θύματος με τον νόμιμο ιστότοπο περνούν και εγγράφονται από τον διακομιστή Modlishka (υποκλέπτονται passwords και πολύ πιθανό και ο κωδικός SMS του 2FA verfication που εισάγει ο χρήστης).
Εάν δηλαδή, οι επιτιθέμενοι είναι σε ετοιμότητα για να συλλέξουν τις πληροφορίες 2FA σε πραγματικό χρόνο, μπορούν να τις χρησιμοποιήσουν για να συνδεθούν με τους λογαριασμούς των θυμάτων….
Δημιουργήθηκε από τον Πολωνό ερευνητή ψηφιακής ασφάλειας Piotr Duszyński και είναι ανεβασμένο στο GitHub με δυνατότητα να το χρησιμοποιήσουν όλοι από την αρχή του έτους!!!
Χάρη στο Modlishka, δεν απαιτείται από τους χάκερς να δημιουργούν ψεύτικες πανομοιότυπες ιστοσελίδες ή πρότυπα για να αρπάξουν δεδομένα (username, password, 2FA,…).
2FA verification broken
Πηγη https://www.zdnet.com/article/new-tool-automates-phishing-attacks-that-bypass-2fa/