16 Ιουλίου 2024

Techlog.gr

Χρήσιμα νέα τεχνολογίας

2FA verification broken – Παρακάμπτεται η επαλήθευση σε 2 Βήματα

1 min read
2FA two factor authentication1 | Techlog.gr - Χρήσιμα νέα τεχνολογίας
0
(0)

Loading

Δυστυχώς φαίνεται ότι έπεσε ένας βασικός και διαδεδομένος πυλώνας ασφάλειας όσον αφορά την αποτροπή κλοπής δεδομένων σύνδεσης σε λογαριασμό με τη χρήση επαλήθευσης σε 2 βήματα 2FA.

Ερευνητής, όχι μόνο ανακάλυψε τη μέθοδο παράκαμψης της, αλλά δημοσίευσε και το λογισμικό σε κοινή θέα.

Όταν τον ρώτησαν γιατί το έκανε, είπε ουσιαστικά «για να τον πάρουν στα σοβαρά» και να βρουν τρόπο αντιμετώπισης οι θιγόμενες υπηρεσίες κι εταιρίες.

Το νέο εργαλείο αυτοματοποιεί τις επιθέσεις ηλεκτρονικού “ψαρέματος” που παρακάμπτουν την 2FA (Επαλήθευση σε 2 Βήματα) 2FA verification broken.

Modlishka at GitHub
Modlishka @ GitHub

Είναι ένα νέο εργαλείο δοκιμής διείσδυσης -και ονομάζεται Modlishka – δημοσιεύτηκε στην αρχή του έτους από έναν ερευνητή ασφαλείας και μπορεί να αυτοματοποιήσει τις επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing) «με μια ευκολία που δεν έχει ξαναγίνει ποτέ»

Μπορεί επίσης να χτυπήσει ακόμη και μέσω των λειτουργιών σύνδεσης για λογαριασμούς που προστατεύονται από έλεγχο ταυτότητας δύο βημάτων (2FA).

Ενθυλακώνεται ανάμεσα στον χρήστη και σε έναν ιστότοπο όπως το Gmail, το Yahoo κ.λ.π..

Το θύμα λαμβάνει αυθεντικό περιεχόμενο από το νόμιμο ιστότοπο – για παράδειγμα το Google – αλλά όλη διακίνηση δεδομένων και όλες οι αλληλεπιδράσεις του θύματος με τον νόμιμο ιστότοπο περνούν και εγγράφονται από τον διακομιστή Modlishka (υποκλέπτονται passwords και πολύ πιθανό και ο κωδικός SMS του 2FA verfication που εισάγει ο χρήστης).

Εάν δηλαδή, οι επιτιθέμενοι είναι σε ετοιμότητα για να συλλέξουν τις πληροφορίες 2FA σε πραγματικό χρόνο, μπορούν να τις χρησιμοποιήσουν για να συνδεθούν με τους λογαριασμούς των θυμάτων….

Δημιουργήθηκε από τον Πολωνό ερευνητή ψηφιακής ασφάλειας Piotr Duszyński και είναι ανεβασμένο στο GitHub με δυνατότητα να το χρησιμοποιήσουν όλοι από την αρχή του έτους!!!

modlishka-backend.png

Χάρη στο Modlishka, δεν απαιτείται από τους χάκερς να δημιουργούν ψεύτικες πανομοιότυπες ιστοσελίδες ή πρότυπα για να αρπάξουν δεδομένα (username, password, 2FA,…).

2FA verification broken

Πηγη https://www.zdnet.com/article/new-tool-automates-phishing-attacks-that-bypass-2fa/

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

About The Author

Δείτε ακομα