Modlishka – Det nya nätfiskeverktyget som riktar sig till 2FA

Den polska säkerhetsforskaren Piotr Duszynski släppte nyligen ett penetrationsprovningsverktyg som heter Modlishka. Detta verktyg erbjuder sina användare möjligheten att förfalska tvåfaktorautentisering. Tidigare hyllas som säkerhetskungen, har de senaste månaderna visat att 2FA kanske inte är så säkra som du hoppades. Läs vidare för att förstå vad Modlishka är / gör och hur du ska gå vidare med ditt kontosäkerhet.


Modlishka - Det nya nätfiskeverktyget som riktar sig till 2FA

Modlishka – Det nya nätfiskeverktyget som riktar sig till 2FA

Vad är Modlishka?

Modlishka är ett omvänd proxyverktyg som tillåter en angripare att lura ett mål att ge dem sitt lösenord och sin 2FA-kod.

Låt mig förklara.

Med andra ord, det är en proxy som står mellan en användare och deras avsedda webbplats. Istället för att visa målet en helt falsk webbplats visar proxy användarens faktiska innehåll från den verkliga webbplatsen. Detta gör det mycket svårt för någon att ta reda på att de luras.

Modlishka fångar upp all trafik som går fram och tillbaka från användaren till webbplatsen. Med andra ord kan en angripare se lösenordet och verifieringskoden som en användare sätter in och få tillgång till offrets verkliga konto i realtid.

Verktyget är öppet och kan laddas ner från Github, och även om det riktar sig till White Hat-säkerhetsforskare finns det inget som hindrar en hacker från att använda verktyget också.

Ska jag sluta använda 2FA?

Absolut inte.
Ja, 2FA kan äventyras, men det betyder inte att ett bättre alternativ är att helt enkelt inte ha någon ytterligare säkerhetsfunktion. Tänk på det, om jag säger att en tjuv kan klippa igenom ditt hems främre lås med ett svetsverktyg, betyder det att din ytterdörrs lås inte är viktigt? Nej. Som sagt är 2FA fortfarande en industristandard, och det finns saker du kan göra för att stelna din autentisering.

Säkerhetsforskare rekommenderar fortfarande starkt att använda 2FA. De håller med om att funktionen inte är slutet på all framtida säkerhet, men det är ett steg i rätt riktning.

I allmänhet går alla säkerhetsåtgärder online genom ett ondskapsfullt katt-och-mus-spel mellan säkerhetsexperter och dåliga skådespelare. Det är alltid ett lopp att hitta en sårbarhet för att fixa eller missbruka. Detta bör inte avskräcka dig från att använda de säkerhetsfunktioner som experterna föreslår.

Det bör dock göra det mycket uppenbart att internetanvändare har en skyldighet att hålla sig så informerad om sin online-säkerhet som möjligt. Borta är de dagar då vi bara kan använda en tjänst utan att göra vår egen forskning, och att informeras om vad som händer i e-världen är det viktigaste steget du kan ta för att skydda din säkerhet.

Hur jag håller mina konton säkra

Det finns fortfarande saker du kan göra för att se till att du skyddar dig mot verktyg som Modlishka. Baserat på detta verktygs hotmodell är här två saker du kan använda för att skydda dina konton:

Använd UFA istället för 2FA

Som jag noterade ovan förfalskar Modlishka 2FA.

Mer specifikt förfalskar det de 2FA-koder som en användare måste mata in. Oavsett om du får koden via SMS (mycket opålitlig) eller via en kodgenerator, är det faktumet att du behöver skriva in den igen vilket gör 2FA sårbar.

Om du är en högprofilerad internetanvändare eller någon som har mycket att förlora genom att inte säkra sina konton föreslår jag att du går till de ultimata 2FA: 2FA-tokens.

2FA-symboler är mycket mer pålitliga än kodgeneratorer eftersom de är hårdvarubaserade. Du behöver inte skriva in något, du behöver bara ansluta token. De fungerar på något som kallas ett U2F-protokoll (Universal 2nd Factor authentication), som erbjuder användaren en universalnyckel för att verifiera alla sina konton.

Hittills finns det bara två företag som gör dessa U2F-symboler: Google och Yubico.

Men du måste faktiskt köpa dessa nycklar, och de är inte riktigt billiga. Det är därför jag föreslår att du går igenom detta steg om du riskerar att bli hackad. Men det är de säkraste produkterna du kan få idag. Denna typ av autentisering gör också Modlishka stum, eftersom det inte finns något som hackaren kan förfalskas.

Token fungerar på egen hand. Allt du behöver göra är att använda USB- eller Bluetooth-autentiseringen (Google erbjuder bara den här funktionen) och du är inställd.

Använd en Password Manager

Så den här Modlishka är ett phishing-baserat verktyg. Med andra ord är det hela syftet att lura en användare att tro att de skriver in sitt lösenord och 2FA-token / kod på en legitim webbplats. Med andra ord, om du lyckades ta reda på att webbplatsen du tittar på är en falsk kommer du inte att falla för bedrägeriet.

För att en angripare ska kunna använda Modlishka måste de registrera ett anpassat domännamn för den webbplats du slutligen ser. Realistiskt sett, om du försöker logga in på Gmail men du har riktats till en webbplats som använder ett annat domännamn än Gmail, är det förmodligen en phishing-webbplats, eller?

Rätt. Saken är att folk vanligtvis inte kontrollerar domännamn. Människor är varelser av vana. Jag förväntar mig inte att alla plötsligt börjar dubbelkontrollera varje webbplats du använder för att se om domännamnet är korrekt.

Jag är emellertid typ av banker på idén att du antingen använder en lösenordshanterare som sparar dina lösenord för dig, eller att du har kommit överens om att “komma ihåg lösenordet” i standardwebbläsaren du använder.

Om du är van vid att öppna Gmail och hitta ditt lösenord som redan har skrivits in, kommer du att slängas lite om det inte händer, eller hur? Tja, Modlishka’s falska webbplatser har inte dina sparade lösenord på dem … vilket innebär att du kommer att kunna säga att något är fel och hindra dig själv från att lämna angriparen någon av informationen de vill ha.

Om du är orolig för att spara ett lösenord i en webbläsare, använd en lösenordshanterare istället. Det gör i princip samma sak och påskyndar inloggningsprocessen. Det är enkelt, prisvärt och hjälper dig att se när en webbplats phishing efter din information.

Modlishka och hotet mot 2FA – slutliga tankar

Lyssna, internetsäkerhet har alltid handlat om att försöka fånga upp sårbarheter innan en hacker kan. Det är en kontinuerlig process, men det är inte en “förlorad strid” alls. Det bästa vi kan göra är att se till att vi är konsekvent uppdaterade med alla nya phishing-kampanjer. Att vara en informerad användare hjälper dig att begränsa mängden mänskligt fel, vilket gör dig till ett hårt mål för phishing-bedrägerier.
Vad tycker du om det nya verktyget? Tror du att experten som gjorde det borde ha öppet? Låt mig veta i kommentarerna nedan.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map