Zwei-Faktor-Authentifizierung als Mittel zur Sicherung des Zugangs zu Diensten und Website ist eine der empfohlenen Ansätze, besonders wenn sie mit sensiblen Inhalten und Online-Banking zu tun. Es wird als sicherer Ansatz erachtet, da es macht die Konten Hacking härter. Zu diesem Zeitpunkt war es sehr schwierig zu überwinden, Einbrüche hatten entweder von dem Host-Computer oder dem Dienst vorgenommen werden. Jedoch, ein neues Open-Source-Tool namens “Modlishka” wurde die meisten Systeme mit Phishing-Taktiken demonstriert in der Lage sein zu umgehen.
Zwei-Faktor-Authentifizierung Bypassed über Phishing Strategies Orchestrated mit Modlishka
Ein neues Open-Source-Tool namens Modlishka hat Schlagzeilen gemacht durch den Nachweis, wie sie umgehen können Zwei-Faktor-Authentifizierung Websites und Dienste. Dies ist nicht durch die Einführung Exploits getan, sondern eine Phishing-Kampagne. Dies ist der Ansatz des Entwicklers hinter dem Werkzeug gewählt, da es sehr effektiv, vor allem erwiesen hat, wenn eine größere Anzahl von Zielen bestimmt ist.
Intrusionen zu Online-Diensten wie zum Bankdienstleistungen und E-Mails sind sehr hart gegen Konten zu tun, die mit Zwei-Faktor-Authentifizierung gesichert werden. Dies ist die gleichzeitige Verwendung von zwei Methoden der Anmeldung, die parallel verwendet werden, um zu beweisen, dass die Benutzer der legitimen Eigentümer. Gängige Methoden umfassen die Verwendung eines PIN-Generation-Geräts oder einen mobilen Authenticator zusammen mit der erforderlichen Benutzername / E-Mail-Adresse und Passwort-Kombination.
Potenzielle böswillige Benutzer benötigen einen Phishing-Domain-Namen haben, auf das den Server zu hosten und ein gültiges TLS-Zertifikat. Das Zertifikat ist erforderlich, um sicherzustellen, dass die Benutzer der Seite weiter zu blättern, wenn es dann nicht ein Sicherheitsfehler gefunden wird, wird an den Browser angezeigt werden. Wenn das Werkzeug richtig konfiguriert ist, wird es beliebte Dienste wie Google die Identität und die Anmeldeinformationen in Echtzeit sammeln. Sobald sie geerntet werden, werden sie in den Log-Dateien platziert werden.
Die Macht der Phishing-Seiten ist offensichtlich,: ein kürzlicher Vorfall ereignete ich im Dezember, als Amnesty International mehr gut gemachten Phishing-Seiten für die beliebten E-Mail-Dienste Tutanota und Protonmail identifiziert. Google und Yahoo wurden auch bei diesen Angriffen neben den sicheren E-Mail-Dienste gezielt.
Der Grund, warum dieses Tool so mächtig ist, dass es verschiedene Arten von Technologien und Methoden verwendet:
- Phishing Taktik - Die Orchestrierung von gefälschten Zielseite kann sehr effektiv sein, besonders bei Anwendern, die auf die Domainnamen nicht genug Aufmerksamkeit zu tun. Die Verwendung von Zertifikaten macht glauben, dass der Browser an, dass eine legitime Website zugegriffen wird. Andere Strategien, die verwendet werden können, um die Chancen für eine erfolgreiche Infektion zu erhöhen, wenn die verkürzte URLs.
- Browser Bugs - Im Laufe der Jahre haben wir verschiedene Software-Schwachstellen beobachtet, die Scripts erlauben URL-Adressen zu fälschen.
- Reverse-Proxy verwenden - Die Verwendung dieser Technologie mittels Web-Server-Konfiguration können die Ziele der gefälschten Zielseiten umleiten.
Bisher haben wir nicht erhalten Beschwerden von Modlishka Missbrauch; jedoch, wir gehen davon aus, dass solche Kampagnen stattfinden wird. Zwei-Faktor-Authentifizierung bleibt immer noch eine empfohlene Vorgehensweise, wenn Konten und Daten zu sichern jedoch Benutzer sollten sehr vorsichtig sein, wenn sie in ihren Anmeldeinformationen eingeben. Die Modlishka Werkzeug Demonstrationen zeigen, dass ein perfekter Nachahmer eines legitimen Zielseite zusammen mit den Zwei-Faktor-Authentifizierungs-Requisiten.
Im FAQ-Bereich von das Werkzeug die folgende Notiz gefunden:
2FA ist nicht gebrochen. Am Ende geht es um ‚Social Engineering’ dass Sie werden wachsam bleiben über wird. Welche können E-Mail sein, Telefon, Post oder face2face Basis. Wenn Sie wollen nicht immer überprüfen, ob der Domain-Name in der URL-Adressleiste des Browsers nicht irgendwie bösartig ist oder Sorgen, wenn es noch eine andere URL-Spoofing-Fehler ist, dann prüfen zu U2F Protokollschalt.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: