您现在的位置是:首页 >市场 > 2021-04-20 09:39:18 来源:
网络钓鱼工具绕过Github上发布的Gmail 2FA
一位安全研究人员发布了一种工具,该工具可以绕过在Gmail和Yahoo等平台上广泛使用的大量双因素身份验证(2FA)方案。波兰研究员PiotrDuszyński在GitHub上发布了他的工具,该工具使用了反向代理方法, 并附有逐步指南,概述了如何在网络钓鱼骗局中使用它来破坏用户凭据和2FA代码 - 在一个例子中反对Google的安全障碍。
部署后,该工具会将名为Modlishka的服务器放置在网络钓鱼目标和安全平台(如Gmail)之间,网络钓鱼受害者会无意中连接到该网络以输入登录详细信息。
在假设的网上诱骗广告系列中,目标用户会遇到一封恶意电子邮件,其中包含指向模仿Google登录程序的代理服务器的链接。然后,用户将输入他们的用户名和密码,然后输入2FA代码(例如通过文本消息接收),所有这些代码都将被收集并保存在代理服务器上。
使用Modlishka(绕过2FA)从Piotr Duszynski在Vimeo上进行网络钓鱼。为了使攻击成功,将要求恶意行为者实时监视此过程,并在过期之前输入2FA代码以获得进入。由于其简单性,假设使用Modlishka编排网络钓鱼活动的攻击者不需要像通常那样重新创建任何网站。所需要的只是网络钓鱼域和有效的TLS证书。
“那么问题出现了,2FA被打破了吗?” Duszyński说。“完全没有,但是通过一个正确的反向代理,通过一个加密的,浏览器信任的通信渠道来定位您的域名,在注意到某些内容严重错误时,确实会遇到严重困难。
“添加不同的浏览器错误,允许URL栏欺骗,问题可能更大。包括缺乏用户意识,它实际上意味着在银盘上向你的对手赠送你最宝贵的资产。”
Duszyński已经在Gmail和雅虎等平台上成功测试了他的工具。
他说这个工具仅用于渗透测试和教育目的,因此对2FA作为防御入侵者和恶意行为者的有效保护层表示怀疑。特别是,Modlishka可用于使网络钓鱼活动“尽可能有效”。
他补充说,从技术角度解决这个问题的唯一方法是依靠基于通用第二因子协议(U2F)的硬件令牌; 这是专门用作身份验证模块的硬件设备,不需要用户手动输入代码。
最近几个月,常见的2FA例程的可靠性已经暴露出来,特别是由于社会新闻聚合器Reddit去年由于其安全性不足而导致的大规模数据泄露事件。
在拦截了少数员工基于SMS的2FA设置并获得对其帐户的访问权限后,恶意行为者取消了大量用户凭据,包括电子邮件地址。
Reddit的首席技术官Chris Slowe表示,事件发生后,该公司意识到基于短信的2FA“并不像我们希望的那样安全”,并建议所有人都转移到基于令牌的2FA。
与此同时,据报道,去年发现的一种恶意软件被称为漫游螳螂,据报道,这种攻击基于针对Android的攻击机制,该机制破解了2FA并劫持了用户的谷歌帐户。
安全专家Graham Cluley告诉 IT专业人员 该工具可以在实践中发挥作用,但用户可以通过使用基于硬件的2FA或密码管理器来保护自己免受Modlishka中心网络钓鱼活动的影响。
“阅读有关Modlishka的消息听起来似乎有用,代理真实网站的内容,使网络钓鱼网站非常可信,并拦截输入的任何信息,如密码和2FA代码,”他说。
“2FA代码往往受时间限制,通常每30秒更换一次。因此,攻击者可能必须实时监控网络钓鱼,以最大限度地提高帐户访问权限。
“因此,这是一个令人印象深刻的演示 - 但用户应继续使用密码管理器,唯一密码,并尽可能启用2FA。”