Οι Χάκερς Παρακάμπτουν την Επαλήθευση σε 2 Βήματα

Δυστυχώς φαίνεται ότι έπεσε κι ένας βασικός και διαδεδομένος πυλώνας ασφαλείας όσον αφορά τη αποτροπή κλοπής δεδομένων σύνδεσης σε λογαριασμό με χρήση της επαλήθευσης σε 2 βήματα. Ερευνητής, όχι μόνο ανακάλυψε τη μέθοδο παράκαμψης, δημοσίευσε κι το λογισμικό σε κοινή θέα.

Όταν τον ρώτησαν γιατί το έκανε, είπε ουσιαστικά «για να τον πάρουν στα σοβαρά» κι να βρουν τρόπο αντιμετώπισης οι θιγόμενες υπηρεσίες κι εταιρίες.

Το νέο εργαλείο αυτοματοποιεί τις επιθέσεις ηλεκτρονικού "ψαρέματος" που παρακάμπτουν την 2FA (Επαλήθευση σε 2 Βήματα).

Modlishka at GitHub
Modlishka @ GitHub 


Ένα νέο εργαλείο δοκιμής διείσδυσης -και ονομάζεται Modlishka - που δημοσιεύτηκε στην αρχή του έτους από έναν ερευνητή ασφαλείας μπορεί να αυτοματοποιήσει τις επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing) «με μια ευκολία που δεν έχει ξαναυπάρξει ποτέ» και μπορεί να χτυπήσει ακόμη και μέσω των λειτουργιών σύνδεσης για λογαριασμούς που προστατεύονται από έλεγχο ταυτότητας δύο παραγόντων (2FA).



Βρίσκεται ανάμεσα σε έναν χρήστη και έναν ιστότοπο-στόχο - όπως το Gmail, το Yahoo.

Το θύμα λαμβάνει αυθεντικό περιεχόμενο από τον νόμιμο ιστότοπο - για παράδειγμα το Google - αλλά όλο το τράφικ και όλες οι αλληλεπιδράσεις του θύματος με τον νόμιμο ιστότοπο περνούν και εγγράφονται στον διακομιστή Modlishka (υποκλέπτονται password κι πολύ πιθανά ο κωδικός SMS της 2FA που εισάγει ο χρήστης).

Εάν δηλαδή, οι επιτιθέμενοι είναι σε ετοιμότητα για να συλλέξουν τις πληροφορίες 2FA σε πραγματικό χρόνο, μπορούν να τις χρησιμοποιήσουν για να συνδεθούν με τους λογαριασμούς των θυμάτων....

Το εργαλείο δημιουργήθηκε από τον Πολωνό ερευνητή ψηφιακής ασφάλειας Piotr Duszyński και υπάρχει στο GitHub -αποθετήριο που αγοράστηκε από την Microsoft- με δυνατότητα να το χρησιμοποιήσουν όλοι από την αρχή του έτους.

Χάρη στην Modlishka που σερβίρει γνήσιο περιεχόμενο του ιστότοπου, δεν απαιτείται από τους χάκερς να δημιουργούν ψεύτικες πανομοιότυπες ιστοσελίδες ή πρότυπα για να αρπάξουν δεδομένα (username, password, 2FA,...).