波兰研究人员发布自动绕过2FA进行网络钓鱼攻击的新工具
2019/01/11 09:33:06 来源:Linux公社 作者:醉落红尘

波兰安全研究员Piotr Duszyński发布了一种名为Modlishka的新渗透测试工具。此工具可以轻松实现网络钓鱼攻击的自动化,甚至可以破坏受2FA保护的帐户(双因素身份验证)。

Modlishka是一个灵活且功能强大的反向代理,可以将您的网络钓鱼活动提升到一个新的水平(只需要您的支持,就可以轻松完成)。

Modlishka位于用户和目标网站之间(例如Gmail,Yahoo或ProtonMail)。当受害者连接到Modlishka服务器(托管网络钓鱼域)时,其后面的反向代理组件会向模拟站点发送请求。虽然受害者从合法站点接收真实内容,但受害者和合法站点之间的所有流量和交互信息都会通过并记录在Modlishka服务器上。用户输入的密码将自动记录到Modlishka后端面板。当用户申请帐户2FA令牌时,反向代理也会提示用户输入2FA令牌。如果攻击者可以实时收集这些2FA令牌,他们可以登录受害者的帐户并建立新的合法会话。

Modlishka设计简单,不需要任何模板。所有内容都可以从合法站点实时获取,因此攻击者无需花费大量时间来更新和调整模板。攻击者只需要一个网络钓鱼域(对于Modlishka服务器)和一个有效的TLS证书,以避免用户收到HTTPS连接丢失的警告。

Phishing with Modlishka (bypass 2FA) from Piotr Duszynski

根据Github页面上的信息,

一些最重要的'Modlishka'功能:

Modlishka现在可以在GitHub上获得,您也可以在研究人员的博客上获得更多信息。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-01/156292.htm


10

本栏最新