Ultime Notizie

mercoledì 9 gennaio 2019

Nuovo tool consente di bypassare il 2FA.

Su GITHUB è disponibile il nuovo strumento di hacking Modlishka che può bypassare l' autenticazione a due fattori, fino ad oggi ritenuta la più sicura e affidabile.

Lo strumento è stato creato dal ricercatore polacco per la sicurezza informatica Piotr Duszyński ed è apparso su GitHub per tutti da utilizzabile dai primi giorni dell'anno.

Progettato per i test di penetrazione, Modlishka si trova tra l'utente e un sito Web o servizio online di destinazione, come Gmail, e si connette a un server che lo ospita utilizzando un dominio di phishing.

Da lì alla vittima vengono offerti contenuti legittimi dal sito Web a cui stanno tentando di accedere, ma tutto il loro traffico passa attraverso il server Modlishka e viene registrato.

Se le password vengono inserite in un client di posta elettronica online, Modlishka le registra e utilizza anche una tecnica chiamata "reverse proxy" per richiedere agli utenti i token 2FA, se i loro account sono configurati con il livello aggiuntivo di autenticazione di sicurezza.


Gli hacker avrebbero dovuto usare Modlishka in quel momento per individuare e raccogliere i token 2FA, ma se li avessero trattenuti avrebbero avuto tutto ciò di cui avevano bisogno per accedere agli account e ai servizi online di una vittima.

Grazie a Modlishka che offre contenuti originali del sito Web, non è necessario che gli hacker creino siti contraffatti o modelli di pagine di destinazione per poter scorrere i dati. Ciò significa che è necessario meno tempo e sforzi per impostare un simile attacco, il che farebbe sembrare che Modlishka sia tanto uno strumento per rendere gli attacchi di phishing più facili per gli hacker quanto per i test di penetrazione.
È necessario un pò di configurazione e ottenere certificati TLS validi per ignorare gli avvisi che Modlishka non sta utilizzando le connessioni HTTPS, ma in seguito lo strumento sembrerebbe essere abbastanza semplice da usare.

Ci chiediamo perché un tale strumento sia stato rilasciato nella comunità aperta di GitHub dato che potrebbe aprire la strada a hacker inesperti per creare attacchi di phishing.

Ma Duszyński ha dichiarato: Nel momento in cui ho iniziato questo progetto (che era agli inizi del 2018), il mio obiettivo principale era scrivere uno strumento facile da usare, che eliminasse la necessità di preparare modelli statici di pagine web per ogni campagna di phishing che stavo svolgendo"

"In questo momento, la mancanza di consapevolezza, rende lo strumento perfetto per i malintenzionati che lo sfrutteranno senza problemi", ha aggiunto.

Non ci resta che incrociare le dita e speriamo che gli hacker non utilizzino lo strumento per azioni illecite.

Nessun commento:

Posta un commento