L'authentification à deux facteurs comme moyen pour sécuriser l'accès aux services et aux sites est l'une des approches recommandées, surtout lorsqu'ils traitent avec des contenus sensibles et les services bancaires en ligne. Il est considéré comme une approche sûre car elle rend le piratage des comptes plus difficile. A cette date, il était très difficile à surmonter, intrusions ont dû être faites soit de l'ordinateur hôte ou le service. Cependant, un nouvel outil open-source appelée “Modlishka” il a été démontré pour être en mesure de contourner la plupart des systèmes utilisant des tactiques de phishing.
L'authentification à deux facteurs en mode bypass via le phishing Stratégies orchestrés Modlishka
Un nouvel outil open-source appelée Modlishka a fait les gros titres en démontrant comment il peut contourner les sites et services d'authentification à deux facteurs. Cela ne se fait par les exploits de lancement, mais plutôt une campagne de phishing. Telle est l'approche choisie par le développeur derrière l'outil car il est avéré être très efficace surtout quand un plus grand nombre de cibles sont destinées.
Intrusions à des services en ligne tels services bancaires et des e-mails sont très difficiles à faire contre les comptes qui sont sécurisés avec une authentification à deux facteurs. Ceci est l'utilisation simultanée de deux méthodes de connexion qui sont utilisés en parallèle pour prouver que les utilisateurs sont les propriétaires légitimes. Les méthodes courantes comprennent l'utilisation d'un dispositif de génération de code PIN ou un authentificateur mobile ainsi que l'adresse nom d'utilisateur / email requis et la combinaison de mot de passe.
Les utilisateurs malveillants potentiels doivent avoir un nom de domaine de phishing sur lequel pour héberger le serveur et un certificat TLS valide. Le certificat est nécessaire pour faire en sorte que les utilisateurs continuer à naviguer sur le site, si elle est introuvable, une erreur de sécurité sera affiché aux navigateurs. Lorsque l'outil est correctement configuré, il emprunte l'identité des services populaires tels que Google et de recueillir les informations d'identification en temps réel. Dès qu'ils sont récoltés, ils seront placés dans les fichiers journaux.
La puissance des sites de phishing est évident: un récent incident est arrivé en Décembre lorsque Amnesty International a identifié plusieurs sites de phishing bien conçus pour les services de messagerie populaires Tutanota et protonmail. Google et Yahoo ont été également pris pour cible dans ces attaques aux côtés des services de messagerie sécurisés.
La raison pour laquelle cet outil est si puissant est qu'il utilise plusieurs types de technologies et de méthodes différentes:
- tactiques de phishing - L'orchestration des fausses pages d'atterrissage peut être très efficace, surtout avec les utilisateurs qui ne prêtons pas assez pour le nom de domaine. L'utilisation des certificats rend le navigateur croire est accédé à un site légitime. D'autres stratégies qui peuvent être utilisées pour augmenter les chances d'infection est réussie lorsque vous utilisez les URL raccourcies.
- Bugs Browser - Au fil des années, nous avons assisté à diverses vulnérabilités logicielles qui permettent aux scripts d'usurper les adresses URL.
- Reverse Proxy Utilisez - L'utilisation de cette technologie par la configuration du serveur Web peut rediriger les cibles vers les pages d'atterrissage faux.
plaintes que nous avons jusqu'à présent pas reçu d'abus Modlishka; cependant, nous supposons que ces campagnes auront lieu. L'authentification à deux facteurs reste une approche recommandée lors de la sécurisation des comptes et des données Les utilisateurs devraient se très prudent lorsque vous entrez dans leurs lettres de créance. Les démonstrations d'outils Modlishka montre qu'un imitateur parfait d'une page d'atterrissage légitime ainsi que les conditions requises d'authentification à deux facteurs.
Dans la section FAQ l'outil la note suivante se trouve:
2FA est pas cassé. A la fin, il est tout au sujet de « l'ingénierie sociale’ que vous devrez être rester vigilants au sujet. Ce qui peut être e-mail, téléphone, à base de courrier ou face2face. Si vous ne voulez pas toujours vérifier si le nom de domaine dans la barre d'adresse URL de votre navigateur n'est pas en quelque sorte malveillant ou vous inquiétez pas s'il y a encore un autre bug de l'usurpation d'identité URL, alors envisager de passer à protocole U2F.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: