sábado, 22 de junio de 2019

Herramienta de 2FA bypass Modlishka.


La herramienta puede hacer que los ataques de phishing sean mucho más fáciles de configurar. 

La herramienta Modlishka que puede evitar la autenticación de dos factores. Fue creada por el investigador polaco de seguridad cibernética Piotr Duszyński y apareció en GitHub para que todos la usaran a principios de año.

Diseñado para las pruebas de penetración, Modlishka se encuentra entre el usuario y un sitio web o servicio en línea objetivo, como Gmail, y las víctimas se conectan a un servidor que lo hospeda mediante un dominio de phishing. Desde allí, la víctima recibe contenido legítimo del sitio web al que intenta acceder, pero todo su tráfico pasa a través del servidor Modlishka y se registra. Si se ingresan contraseñas, por ejemplo un cliente de correo electrónico en línea, Modlishka las registra y también usa una técnica llamada 'proxy inverso' para solicitar a los usuarios los tokens de 2FA, si sus cuentas están configuradas con la capa adicional de autenticación de seguridad. 

Los hackers tendrían que usar Modlishka en el momento de detectar y recolectar los tokens 2FA, pero si los consiguieran, tendrían todo lo que necesitaban para iniciar sesión en las cuentas y servicios en línea de la víctima. Gracias a Modlishka que ofrece contenido de sitios web genuinos, no es necesario crear sitios falsos o plantillas de páginas de destino para poder obtener datos. Esto significa que se necesita menos tiempo y esfuerzo para configurar un ataque de este tipo, lo que haría que pareciera que Modlishka es tanto una herramienta para hacer que los ataques de phishing sean más fáciles para los hackers como para las pruebas de penetración. 

Se necesita un poco de configuración y la obtención de certificados TLS válidos para omitir las alertas de que Modlishka no está utilizando conexiones HTTPS, pero después de eso la herramienta parece ser bastante sencilla de usar. Nos preguntábamos por qué se lanzó una herramienta de este tipo en la comunidad abierta de GitHub, dado que podría abrir el camino para que los piratas informáticos inexpertos establezcan ataques de phishing. Pero Duszyński defendió la decisión de ZDNet: "Tenemos que enfrentar el hecho de que sin una prueba de concepto, eso realmente prueba el punto, el riesgo se trata como teórico y no se toman medidas reales para abordarlo adecuadamente". "Este status quo, y la falta de conciencia sobre el riesgo, es una situación perfecta para los actores maliciosos que la explotarán felizmente", agregó. 

Autor: Piotr Duszyński (@drk1wi)
Web de la herramienta: https://github.com/drk1wi/Modlishka
No olvides Compartir... 
Siguenos en twitter: @disoftin


No hay comentarios:

Publicar un comentario

Más leídas este mes