波蘭研究員發布新工具，能自動繞過2FA進行釣魚攻擊

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：國際特赦組織（Amnesty International）的報告和Modlishka工具發布一個月後，人們對2FA（雙因子驗證）的信任感逐漸降低。

據外媒報道，2019年年初，一名波蘭安全研究人員發布了一個新的滲透測試工具，名為Modlishka。該工具可以非常輕鬆地進行自動化釣魚攻擊，甚至可以破解登錄受2FA（雙因子驗證）保護的賬戶。

Modlishka是IT專業人士所稱的反向代理伺服器，但經修改後可用於登錄頁面和釣魚操作。

Modlishka位於用戶和目標網站（如Gmail、Yahoo或ProtonMail）之間。當受害者連接到Modlishka伺服器（託管釣魚域名），它後面的反向代理組件便向模擬的站點發出請求。受害者雖然從合法站點接收到真實的內容，但是受害者與合法站點所有的通信量和交互信息都經過並記錄在Modlishka伺服器上。

用戶輸入的密碼都將自動記錄到Modlishka後端面板。當用戶申請賬戶2FA令牌時，反向代理還會提示用戶輸入2FA令牌。如果攻擊者能夠實時收集這些2FA令牌，他們可以登錄受害者的帳戶並建立新的合法會話。

Modlishka設計簡單，不需使用任何「模板」。所有內容能從合法站點實時獲取，因此攻擊者不需要花費很多時間更新和調整模板。攻擊者只需要一個釣魚域名（用於Modlishka伺服器上）和一個有效的TLS證書，以避免用戶收到缺少HTTPS連接的警告。

最後一步是配置一個簡單的配置文件，在受害者發現自己進入釣魚網站之前，讓受害者進入真正的站點。

Modlishka的研究人員表示，與以往的釣魚工具不同，Modlishka是一個點擊式的自動化系統，維護成本很低。

該研究人員稱，他在2018年初開始這個項目時，主要想編寫一個易於使用的工具，這樣就不需要在每一次釣魚活動時準備靜態網頁模板。作為MITM（中間人攻擊）的參與者，創建通用且易於自動化的反向代理似乎是最好的方法。

他還表示，這個工具改變了之前釣魚工具的規則，點擊即可實現反向代理，可對2FA自動進行釣魚操作（但無法釣魚基於U2F協議的令牌）。工具用於JavaScript混淆代碼或是HTML標籤安全屬性（如integrity）時，需要手動調整。但工具也支持在這些情況下使用，後續也將繼續升級工具版本。

國際特赦組織在2018年12月發布的一份報告稱，由國家資助的黑客已經開始使用可以繞過2FA的網路釣魚系統。

許多人擔心Modlishka工具會降低網路釣魚難度，「腳本小子」在幾分鐘內便可建立釣魚網站。此外，網路犯罪團伙能利用這個工具輕鬆地自動創建釣魚網頁。

研究員為什麼在GitHub上發布了這樣一個危險的工具？他表示，如果沒有事實能證明理論上的風險，就無法採取措施解決這些問題。

雖然Modlishka工具可以自動繞過基於SMS和一次性密碼的2FA進行釣魚，但無法繞過基於U2F協議的硬體安全密鑰。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！