Polak autorem niesamowicie prostego i potężnego narzędzia do phishingu

Polski badacz bezpieczeństwa opracował narzędzie, które automatyzuje ataki phishingowe i może łatwo ominąć dwuetapową weryfikację użytkownika (2FA). Piotr Duszyński opublikował pliki kilka dni temu i postawiły one społeczność osób zajmujących się zabezpieczeniami w stan najwyższej gotowości. Pliki są dostępne w serwisie GitHub i wraz z załączonym przewodnikiem są ekstremalnie proste w użyciu. Pozwala to hakerom włamywać się na konta, nawet jeśli włączone jest 2FA. Narzędzie nosi nazwę Modlishka i działa na zasadzie reverse proxy, co oznacza, że znajduje się pomiędzy użytkownikiem obranym na cel, a właściwą stroną internetową. Normalnie phishing jest dość skomplikowany i wymaga sporej ilości kodowania i umiejętności programistycznych, jednak to proste narzędzie jest zupełnie inne. Jego działanie właściwie ogranicza się do niemal zwykłego przeklikania niezbędnych kroków i  niemal każdy z podstawową wiedzą, może przejąć czyjeś konto bez większego wysiłku.

Modlishka to uniwersalne i potężne reverse proxy, które wprowadzi kampanie phishingowe na nowy poziom, z minimalnym wysiłkiem ze strony atakującego.

Modlishka działa przechwytując ruch od użytkownika do docelowej strony. Aby przeprowadzić atak, haker musi jedynie zdobyć tani certyfikat TLS i przekierować użytkownika na swoją stronę.  Ponieważ Modlishka działa na zasadzie odwrotnego proxy, przepuszcza całą zawartość strony oraz formularze do uzupełnienia przez użytkownika. Dzięki temu nie ma konieczności odtwarzania dokładnego wyglądu strony, która jest celem ataku, by upewnić się, że użytkownik nie nabierze podejrzeń. Kiedy ofiara spróbuje się zalogować, wszystko będzie wyglądało całkowicie normalnie, poza tym, że dane logowania zostaną najpierw przesłane na serwer gdzie znajduje się Modlishka, a następne zostaną przesłane na prawdziwy serwer i nastąpi zalogowanie użytkownika. Modlishka będzie dalej przekazywać cały ruch w normalny sposób, więc przejęta sesja nie będzie się niczym różnić od innych. Jeśli serwis, do którego loguje się użytkownik będzie wymagał dwustopniowego uwierzytelnienia, to dane te również zostaną przesłane atakującemu.

Jak tylko osoba dokonująca ataku będzie posiadać poświadczenia 2FA skradzione od użytkownika, może się zalogować na docelowej stronie. Duszyński opublikował dość szczegółową instrukcję obsługi oraz udostępnił kod źródłowy w serwisie GitHub, by zwiększyć świadomość na zagrożenia. Uważa on, że bez działającego dowodu, ryzyko jest tylko teoretyczne i nikt nie podejmie żadnych środków, żeby wszystko odpowiednio zabezpieczyć. Autor opisuje swoje narzędzie jako uniwersalne i potężne reverse proxy, które wprowadzi kampanie phishingowe na nowy poziom, z minimalnym wysiłkiem ze strony atakującego. Ataki te nie omijają całkowicie 2FA, ponieważ użytkownik wciąż musi wprowadzić właściwe poświadczenia. Atakujący musi ponadto przechwytywać je w czasie rzeczywistym, by upewnić się, że nie wygasną, zanim się zaloguje. Metoda ta nie jest w stanie obejść zabezpieczeń Universal 2nd Factor (U2F). W chwili obecnej jedyną formą zabezpieczenia się przed atakiem z wykorzystaniem Modlishki, to zwracanie uwagi na to co się klika i dokładna weryfikacja poprawności adresu witryny, którą odwiedzamy.