波兰安全研究员Piotr Duszyński发布了一种名为Modlishka的新渗透测试工具。此工具可以轻松实现网络钓鱼攻击的自动化,甚至可以破坏受2FA保护的帐户(双因素身份验证)。
Modlishka是一个灵活且功能强大的反向代理,可以将您的网络钓鱼活动提升到一个新的水平(只需要您的支持,就可以轻松完成)。
Modlishka位于用户和目标网站之间(例如Gmail,Yahoo或ProtonMail)。当受害者连接到Modlishka服务器(托管网络钓鱼域)时,其后面的反向代理组件会向模拟站点发送请求。虽然受害者从合法站点接收真实内容,但受害者和合法站点之间的所有流量和交互信息都会通过并记录在Modlishka服务器上。用户输入的密码将自动记录到Modlishka后端面板。当用户申请帐户2FA令牌时,反向代理也会提示用户输入2FA令牌。如果攻击者可以实时收集这些2FA令牌,他们可以登录受害者的帐户并建立新的合法会话。
Modlishka设计简单,不需要任何模板。所有内容都可以从合法站点实时获取,因此攻击者无需花费大量时间来更新和调整模板。攻击者只需要一个网络钓鱼域(对于Modlishka服务器)和一个有效的TLS证书,以避免用户收到HTTPS连接丢失的警告。
Phishing with Modlishka (bypass 2FA) from Piotr Duszynski。
根据Github页面上的信息,
一些最重要的'Modlishka'功能:
- 支持大多数2FA身份验证方案(按设计)。
- 没有网站模板(只需将Modlishka指向目标域 - 在大多数情况下,它将自动处理)。
- 完全控制来自受害者浏览器的“交叉”来源TLS流量。
- 通过配置选项提供灵活且易于配置的网络钓鱼方案。
- 基于模式的JavaScript有效负载注入
- 从所有加密和安全标题中划分网站(回到90年代的MITM风格)。
- 用户凭证获取(使用基于URL参数的上下文传递标识符)。
- 可以通过插件扩展您的想法。
- 无国籍设计。可以为任意数量的用户轻松扩展 - 例如通过DNS负载均衡器。
- Web面板,包含收集的凭据和用户会话模拟(beta)的摘要。
Modlishka现在可以在GitHub上获得,您也可以在研究人员的博客上获得更多信息。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址:https://www.linuxidc.com/Linux/2019-01/156292.htm
