手机版
你好,游客 登录 注册
背景:
阅读新闻

波兰研究人员发布自动绕过2FA进行网络钓鱼攻击的新工具

[日期:2019-01-11] 来源:Linux公社  作者:醉落红尘 [字体: ]

波兰安全研究员Piotr Duszyński发布了一种名为Modlishka的新渗透测试工具。此工具可以轻松实现网络钓鱼攻击的自动化,甚至可以破坏受2FA保护的帐户(双因素身份验证)。

Modlishka是一个灵活且功能强大的反向代理,可以将您的网络钓鱼活动提升到一个新的水平(只需要您的支持,就可以轻松完成)。

Modlishka位于用户和目标网站之间(例如Gmail,Yahoo或ProtonMail)。当受害者连接到Modlishka服务器(托管网络钓鱼域)时,其后面的反向代理组件会向模拟站点发送请求。虽然受害者从合法站点接收真实内容,但受害者和合法站点之间的所有流量和交互信息都会通过并记录在Modlishka服务器上。用户输入的密码将自动记录到Modlishka后端面板。当用户申请帐户2FA令牌时,反向代理也会提示用户输入2FA令牌。如果攻击者可以实时收集这些2FA令牌,他们可以登录受害者的帐户并建立新的合法会话。

Modlishka设计简单,不需要任何模板。所有内容都可以从合法站点实时获取,因此攻击者无需花费大量时间来更新和调整模板。攻击者只需要一个网络钓鱼域(对于Modlishka服务器)和一个有效的TLS证书,以避免用户收到HTTPS连接丢失的警告。

Phishing with Modlishka (bypass 2FA) from Piotr Duszynski

根据Github页面上的信息,

一些最重要的'Modlishka'功能:

  • 支持大多数2FA身份验证方案(按设计)。
  • 没有网站模板(只需将Modlishka指向目标域 - 在大多数情况下,它将自动处理)。
  • 完全控制来自受害者浏览器的“交叉”来源TLS流量。
  • 通过配置选项提供灵活且易于配置的网络钓鱼方案。
  • 基于模式的JavaScript有效负载注入
  • 从所有加密和安全标题中划分网站(回到90年代的MITM风格)。
  • 用户凭证获取(使用基于URL参数的上下文传递标识符)。
  • 可以通过插件扩展您的想法。
  • 无国籍设计。可以为任意数量的用户轻松扩展 - 例如通过DNS负载均衡器。
  • Web面板,包含收集的凭据和用户会话模拟(beta)的摘要。

Modlishka现在可以在GitHub上获得,您也可以在研究人员的博客上获得更多信息。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-01/156292.htm

linux
相关资讯       2FA  绕过2FA 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款