網絡釣魚工具繞過Github上發布的Gmail 2FA

一位安全研究人員發布了一種工具，該工具可以繞過在Gmail和Yahoo等平臺上廣泛使用的大量雙因素身份驗證(2FA)方案。波蘭研究員PiotrDuszyński在GitHub上發布了他的工具，該工具使用了反向代理方法， 并附有逐步指南，概述了如何在網絡釣魚騙局中使用它來破壞用戶憑據和2FA代碼 - 在一個例子中反對Google的安全障礙。

部署后，該工具會將名為Modlishka的服務器放置在網絡釣魚目標和安全平臺(如Gmail)之間，網絡釣魚受害者會無意中連接到該網絡以輸入登錄詳細信息。

在假設的網上誘騙廣告系列中，目標用戶會遇到一封惡意電子郵件，其中包含指向模仿Google登錄程序的代理服務器的鏈接。然后，用戶將輸入他們的用戶名和密碼，然后輸入2FA代碼(例如通過文本消息接收)，所有這些代碼都將被收集并保存在代理服務器上。

使用Modlishka(繞過2FA)從Piotr Duszynski在Vimeo上進行網絡釣魚。為了使攻擊成功，將要求惡意行為者實時監視此過程，并在過期之前輸入2FA代碼以獲得進入。由于其簡單性，假設使用Modlishka編排網絡釣魚活動的攻擊者不需要像通常那樣重新創建任何網站。所需要的只是網絡釣魚域和有效的TLS證書。

“那么問題出現了，2FA被打破了嗎?” Duszyński說。“完全沒有，但是通過一個正確的反向代理，通過一個加密的，瀏覽器信任的通信渠道來定位您的域名，在注意到某些內容嚴重錯誤時，確實會遇到嚴重困難。

“添加不同的瀏覽器錯誤，允許URL欄欺騙，問題可能更大。包括缺乏用戶意識，它實際上意味著在銀盤上向你的對手贈送你最寶貴的資產。”

Duszyński已經在Gmail和雅虎等平臺上成功測試了他的工具。

他說這個工具僅用于滲透測試和教育目的，因此對2FA作為防御入侵者和惡意行為者的有效保護層表示懷疑。特別是，Modlishka可用于使網絡釣魚活動“盡可能有效”。

他補充說，從技術角度解決這個問題的唯一方法是依靠基于通用第二因子協議(U2F)的硬件令牌; 這是專門用作身份驗證模塊的硬件設備，不需要用戶手動輸入代碼。

最近幾個月，常見的2FA例程的可靠性已經暴露出來，特別是由于社會新聞聚合器Reddit去年由于其安全性不足而導致的大規模數據泄露事件。

在攔截了少數員工基于SMS的2FA設置并獲得對其帳戶的訪問權限后，惡意行為者取消了大量用戶憑據，包括電子郵件地址。

Reddit的首席技術官Chris Slowe表示，事件發生后，該公司意識到基于短信的2FA“并不像我們希望的那樣安全”，并建議所有人都轉移到基于令牌的2FA。

與此同時，據報道，去年發現的一種惡意軟件被稱為漫游螳螂，據報道，這種攻擊基于針對Android的攻擊機制，該機制破解了2FA并劫持了用戶的谷歌帳戶。

安全專家Graham Cluley告訴 IT專業人員 該工具可以在實踐中發揮作用，但用戶可以通過使用基于硬件的2FA或密碼管理器來保護自己免受Modlishka中心網絡釣魚活動的影響。

“閱讀有關Modlishka的消息聽起來似乎有用，代理真實網站的內容，使網絡釣魚網站非常可信，并攔截輸入的任何信息，如密碼和2FA代碼，”他說。

“2FA代碼往往受時間限制，通常每30秒更換一次。因此，攻擊者可能必須實時監控網絡釣魚，以最大限度地提高帳戶訪問權限。

“因此，這是一個令人印象深刻的演示 - 但用戶應繼續使用密碼管理器，唯一密碼，并盡可能啟用2FA。”