1 Ιουνίου 2020

2FA verification broken – Παρακάμπτεται η επαλήθευση σε 2 Βήματα

  • 1
  •  
  •  
  •  
  •   
  •  
    1
    Share

Δυστυχώς φαίνεται ότι έπεσε ένας βασικός και διαδεδομένος πυλώνας ασφάλειας όσον αφορά την αποτροπή κλοπής δεδομένων σύνδεσης σε λογαριασμό με τη χρήση επαλήθευσης σε 2 βήματα 2FA.

Ερευνητής, όχι μόνο ανακάλυψε τη μέθοδο παράκαμψης της, αλλά δημοσίευσε και το λογισμικό σε κοινή θέα.

Όταν τον ρώτησαν γιατί το έκανε, είπε ουσιαστικά «για να τον πάρουν στα σοβαρά» και να βρουν τρόπο αντιμετώπισης οι θιγόμενες υπηρεσίες κι εταιρίες.

Το νέο εργαλείο αυτοματοποιεί τις επιθέσεις ηλεκτρονικού “ψαρέματος” που παρακάμπτουν την 2FA (Επαλήθευση σε 2 Βήματα) 2FA verification broken.

Modlishka at GitHub
Modlishka @ GitHub

Είναι ένα νέο εργαλείο δοκιμής διείσδυσης -και ονομάζεται Modlishka – δημοσιεύτηκε στην αρχή του έτους από έναν ερευνητή ασφαλείας και μπορεί να αυτοματοποιήσει τις επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing) «με μια ευκολία που δεν έχει ξαναγίνει ποτέ»

Μπορεί επίσης να χτυπήσει ακόμη και μέσω των λειτουργιών σύνδεσης για λογαριασμούς που προστατεύονται από έλεγχο ταυτότητας δύο βημάτων (2FA).

Ενθυλακώνεται ανάμεσα στον χρήστη και σε έναν ιστότοπο όπως το Gmail, το Yahoo κ.λ.π..

Το θύμα λαμβάνει αυθεντικό περιεχόμενο από το νόμιμο ιστότοπο – για παράδειγμα το Google – αλλά όλη διακίνηση δεδομένων και όλες οι αλληλεπιδράσεις του θύματος με τον νόμιμο ιστότοπο περνούν και εγγράφονται από τον διακομιστή Modlishka (υποκλέπτονται passwords και πολύ πιθανό και ο κωδικός SMS του 2FA verfication που εισάγει ο χρήστης).

Εάν δηλαδή, οι επιτιθέμενοι είναι σε ετοιμότητα για να συλλέξουν τις πληροφορίες 2FA σε πραγματικό χρόνο, μπορούν να τις χρησιμοποιήσουν για να συνδεθούν με τους λογαριασμούς των θυμάτων….

Δημιουργήθηκε από τον Πολωνό ερευνητή ψηφιακής ασφάλειας Piotr Duszyński και είναι ανεβασμένο στο GitHub με δυνατότητα να το χρησιμοποιήσουν όλοι από την αρχή του έτους!!!

modlishka-backend.png

Χάρη στο Modlishka, δεν απαιτείται από τους χάκερς να δημιουργούν ψεύτικες πανομοιότυπες ιστοσελίδες ή πρότυπα για να αρπάξουν δεδομένα (username, password, 2FA,…).

2FA verification broken

Πηγη https://www.zdnet.com/article/new-tool-automates-phishing-attacks-that-bypass-2fa/


  • 1
  •  
  •  
  •  
  •   
  •  
    1
    Share

George S. Metallidis

Όλα ξεκίνησαν το 1988 όταν μπήκε στο σπίτι το πρώτο PC ένας 32bit 80386 με 4mb ram, CGA γραφικά σε 16colours monitor....και φυσικά λιώσιμο με το DOS game Grand Prix Circuit της Accolade

View all posts by George S. Metallidis →

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.