在年初发布的一个新的穿透测试工具,可以使网络钓鱼攻击自动化,在以前从未见到过,甚至可以通过登录操作来保护受两个因素身份验证(2FA)保护的帐户。
这个新工具是由波兰研究员皮奥特·杜西·斯奇(Piotr Duszyński)发明的。
Modlishka是IT专业人士所称的反向代理,但为处理用于登录页面和钓鱼操作的流量而进行了修改。
它位于用户和目标网站之间,比如Gmail、Yahoo或质子化。网络钓鱼受害者连接到Modelishka服务器(托管网络钓鱼域),而其背后的反向代理组件会向其想要模拟的站点请求。
受害者从合法网站接收真实内容–让我们例如Google–但是所有的交通和所有受害者的与合法站点的交互通过并记录在Modellika服务器上。
Modelishka后端面板
用户可以输入的任何密码都会自动登录到Modelishka后端面板中,而当用户配置帐户以请求用户时,反向代理也会提示用户2FA令牌。
如果攻击者能够实时收集这2FA令牌,他们可以使用它们登录到“受害者”帐户并建立新的和合法的会话。
下面的视频显示了如何在不使用模板的情况下无缝加载来自真实Google登录界面的内容的Modellika供电的网络钓鱼站点,并记录用户可能看到的凭据和任何2FA代码。
由于这种简单的设计,modellika不使用任何”模板,”来描述合法站点的克隆。由于所有内容都是从合法站点实时获取的,攻击者无需花费大量的时间更新和微调模板。
相反,所有攻击者都需要一个网络钓鱼域名(在modellika服务器上的主机)和有效的TLS证书,以避免警告用户缺少HTTPS连接。
最后的步骤是配置一个简单的配置文件,在网络钓鱼操作结束之前,将受害者卸载到真实的合法站点上,然后再将其置于“粗略”的网络钓鱼域中。
在给zdnet的电子邮件中,duszyński将Modlishka描述为一个点击式和易于自动化的系统,与其他渗透测试人员以前使用的钓鱼工具包不同,它需要最少的维护。
“在我开始这个项目的时候(这是在2018年初),我的主要目标是编写一个易于使用的工具,这样就可以消除为我执行的每个网络钓鱼活动准备静态网页模板的需要,”告诉我们。
他增加了”创建通用且易于自动化的反向代理的方法,作为MITM角色,似乎是最自然的方向。尽管在这条道路上出现了一些技术挑战,但总体结果似乎很有价值,”。
“我写的这个工具有点像一个改变游戏的工具,因为它可以作为一个‘点并点击’代理,它允许在完全支持2FA的情况下,轻松地进行钓鱼活动自动化(这是一个例外是基于U2F协议的令牌–这是目前唯一具有弹性的第二个因素)。”
Duszyński告诉ZDNet:“有些情况需要手动调优(因为混淆了JavaScript代码,或者,例如,HTMLTag安全属性,比如完整性‘),但是这些特性得到了工具的完全支持,并且在将来的版本中也将得到改进。”
大赦国际12月发布的一份报告显示,资助的先进行为体已经开始使用可以绕过2FA的钓鱼系统。
现在,许多担心Modelishka会减少进入壁垒,以允许所谓的”脚本Kideldie”在几分钟内建立网络钓鱼站点,即使需要的技术技能也更少。此外,这一工具将使网络团体能够容易地自动创建网络钓鱼页面,这些页面更易于维护,并且更难以被受害者检测到。
当我们问他为什么在GitHub上发布这么危险的工具时,Duszyński有一个非常有趣的答案。
他说:“我们必须面对这样一个事实:如果没有一个有效的概念证据,就能真正证明这一点,风险就会被视为理论上的,而没有采取任何真正的措施来恰当地解决这一问题。”
“这种现状,以及缺乏对风险的认识,是恶意行为者的一个完美的处境,他们会很乐意地利用它。”
duszyński说,虽然他的工具可以使钓鱼网站通过基于短信和一次编码的2FA检查的过程自动化,但是Modlishka对于基于u2f的依赖硬件安全密钥的方案来说效率很低。
Modlishka目前可以在GitHub上获得开源许可证。