サービスとサイトへのアクセスを保護する手段としての2要素認証は、推奨されるアプローチの1つです。, 特に機密性の高いコンテンツやオンラインバンキングを扱う場合. アカウントのハッキングを困難にするため、安全なアプローチと見なされます. 今日まで、克服することは非常に困難でした, コンピュータホストまたはサービスのいずれかから侵入を行う必要がありました. でも, と呼ばれる新しいオープンソースツール “Modlishka” フィッシング戦術を使用してほとんどのスキームをバイパスできることが実証されています.
Modlishkaでオーケストレーションされたフィッシング戦略を介してバイパスされた2要素認証
Modlishkaと呼ばれる新しいオープンソースツールは、2要素認証サイトとサービスをバイパスする方法を示すことで見出しを作りました. これは、エクスプロイトを起動することではなく、フィッシングキャンペーンによって行われます。. これは、特に多数のターゲットが意図されている場合に非常に効果的であることが証明されているため、ツールの背後で開発者が選択したアプローチです。.
銀行サービスや電子メールなどのオンラインサービスへの侵入は、2要素認証で保護されたアカウントに対して行うのは非常に困難です。. これは、ユーザーが正当な所有者であることを証明するために並行して使用される2つのログイン方法を同時に使用することです。. 一般的な方法には、PIN生成デバイスまたはモバイル認証システムと、必要なユーザー名/電子メールアドレスおよびパスワードの組み合わせの使用が含まれます。.
潜在的な悪意のあるユーザーは、サーバーをホストするフィッシングドメイン名と有効なTLS証明書を持っている必要があります. ユーザーが引き続きサイトを閲覧できるようにするには、証明書が必要です。, 見つからない場合は、セキュリティエラーがブラウザに表示されます. ツールが正しく構成されている場合、Googleなどの一般的なサービスになりすまして、リアルタイムで資格情報を収集します. それらが収穫されるとすぐに、それらはログファイルに配置されます.
フィッシングサイトの威力は明らかです: 最近の事件は、アムネスティ・インターナショナルが人気のある電子メールサービスTutanotaとProtonMailのために巧妙に作成されたフィッシングサイトをいくつか特定した12月に発生しました。. GoogleとYahooも、安全な電子メールサービスとともにこれらの攻撃の標的にされました.
このツールが非常に強力である理由は、いくつかの異なるタイプのテクノロジーと方法を使用しているためです。:
- フィッシング戦術 —偽のランディングページのオーケストレーションは、特にドメイン名に十分な注意を払っていないユーザーにとって非常に効果的です。. 証明書を使用すると、ブラウザは正当なサイトにアクセスしていると認識します。. 感染が成功する可能性を高めるために使用できる他の戦略は、短縮URLを使用する場合です。.
- ブラウザのバグ —何年にもわたって、スクリプトがURLアドレスをスプーフィングすることを可能にするさまざまなソフトウェアの脆弱性を目撃してきました。.
- リバースプロキシの使用 — Webサーバー構成によるこのテクノロジーの使用により、ターゲットを偽のランディングページにリダイレクトできます.
これまでのところ、Modlishkaの乱用に関する苦情は受けていません。; でも, そのようなキャンペーンが行われると想定しています. アカウントとデータを保護する場合は、2要素認証が引き続き推奨されるアプローチですが、ユーザーは資格情報を入力する際に十分に注意する必要があります。. Modlishkaツールのデモンストレーションは、正当なランディングページの完全なコピーキャットと2要素認証の要件を示しています.
のFAQセクション ツール 次のメモが見つかりました:
2FAは壊れていません. 最後に、それはすべてソーシャルエンジニアリングについてです’ あなたはについて警戒し続ける必要があること. これは電子メールである可能性があります, 電話, postまたはface2faceベース. ブラウザのURLアドレスバーのドメイン名が何らかの形で悪意のあるものではないかどうかを常に確認したくない場合、またはさらに別のURLスプーフィングのバグがあるかどうかを心配する場合, 次に、U2Fプロトコルへの切り替えを検討します.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: