Инструмент Modlishka позволяет обходить двухфакторную аутентификацию.
Опубликованный в начале года инструмент для проведения тестов на проникновение позволяет с невиданной доселе легкостью автоматизировать фишинговые атаки и даже обходить двухфакторную аутентификацию.
Разработчиком инструмента является польский исследователь Петр Душиньски (Piotr Duszyński). Программа, получившая название Modlishka (от польского modliszka – богомол), представляет собой обратный прокси, приспособленный под трафик страниц авторизации и фишинговых операций.
Сервер Modlishka устанавливается между пользователем и атакуемым ресурсом (например, Gmail, Yahoo или ProtonMail). Жертва подключается к серверу, на котором расположен фишинговый домен, и обратный прокси делает запрос к сайту, за который он себя выдает. Жертва получает настоящий контент от легитимного ресурса, но весь трафик проходит через сервер Modlishka, и вводимые ею пароли записываются.
Кроме того, Modlishka запрашивает у жертвы токены двухфакторной аутентификации в случае, если этого требуют настройки учетной записи. Если атакующий может собирать токены в режиме реального времени, это дает ему возможность авторизоваться в чужих учетных записях и инициировать новые легитимные сеансы.
Таким образом, Modlishka избавляет фишеров от необходимости использовать «клоны» настоящих сайтов для заманивания жертв. Поскольку пользователь получает контент от настоящего ресурса, у злоумышленников нет нужды тратить драгоценное время на подготовку и настройку подделки. Достаточно лишь иметь доменное имя для фишингового сайта, размещенного на сервере Modlishka, и сертификат TLS, чтобы браузер не предупреждал жертву об опасности использования незащищенного соединения. Завершающий шаг – создание простого конфигурационного файла для направления жертвы на легитимный ресурс до того, как она успеет заметить подозрительное доменное имя.