26 abr 2019

PHISHING CON MODLISHKA - EVADIENDO 2FA



Un investigador publicó en GitHub una herramienta para pruebas de penetración con fines educativos que es capaz de crear campañas de phishing de manera sencilla y que incluso logra suplantar servicios con doble factor de autenticación (2FA).

El investigador en seguridad polaco Piotr Duszyński, desarrolló una nueva herramienta para pruebas de penetración que llamó Modlishka y que según sus propias palabras “permite llevar las campañas de phishing a un nivel superior y con mínimo esfuerzo”. La herramienta puede ser utilizada para suplantar incluso sitios web populares como Yahoo o Gmail.

Algunas de las principales funcionalidades que ofrece esta herramienta de proxy inverso, son: soporte para la mayoría de los esquemas de doble factor de autenticación; la solo necesidad de indicar a Modlishka cuál es el dominio apuntado para que automáticamente sea manipulado sin necesidad de templates de sitios web; control absoluto del flujo de tráfico TLS de origen que pasa por el navegador de la víctima; posibilidad de configurar de manera sencilla posibles escenarios de phishing a través de las opciones de configuración; remoción de los sitios web todo cifrado y headers de seguridad; recolección de credenciales de usuarios, entre otras funcionalidades más.

¿CÓMO FUNCIONA?

Modlishka se ubica entre el usuario y el sitio web elegido. Al recibir la dirección para ingresar a su cuenta, la víctima en realidad está pasando en una etapa intermedia por el servidor de Modlishka y el componente de proxy inverso hace una solicitud al sitio cuya identidad se está suplantando.

De esta manera, la víctima obtiene contenido auténtico de un sitio legítimo, pero todo el tráfico y las interacciones realizadas por la víctima pasan por el servidor Modlishka, donde queda un registro del nombre de usuario y contraseña ingresado que luego el operador de la herramienta puede observar en un panel de control.

Si el usuario tiene configurado el doble factor de autenticación, la herramienta solicita al sitio legítimo que envíe la clave correspondiente al doble factor de autenticación, siempre que esté basado en SMS.

Como mencionamos en la descripción de las funcionalidades, la herramienta no utiliza templates, ya que todo el contenido es extraído del sitio legítimo en tiempo real, con lo cual, no es necesario que los atacantes inviertan tiempo en el diseño de templates que resulten creíbles para los usuarios.

¿CÓMO EVITAR ESTE TIPO DE ATAQUE?


  • Siempre fijarse en la url a la que estamos visitando
  • No colocar datos confidenciales en equipos desconocidos
  • Usar una vpn segura para realizar transacciones
  • Fijarse que la url que visitamos tenga https

USO DE LA HERRAMIENTA

Descargar la herramienta

$ go get -u github.com/drk1wi/Modlishka
$ cd $GOPATH/src/github.com/drk1wi/Modlishka/ /

2. Configure el complemento ‘autocert’

Este paso es necesario si desea que la página pase a través de un canal TLS de confianza para el navegador:

$ openssl genrsa -out MyRootCA.key 2048`
$ openssl req -x509 -new -nodes -key MyRootCA.key -sha256 -days 1024 -out MyRootCA.pem

Reemplace la variable const CA_CERT con el contenido del archivo MyRootCA.pem y la constante CA_CERT_KEY con el contenido de MyRootCA.key en el archivo ‘plugin / autocert.go’.

Instale y establezca el nivel de confianza adecuado para la CA ‘MyRootCA’ en el almacén de certificados de su navegador y listo.

3. Compilar y lanzar "Modlishka"

$ make
$ sudo ./dist/proxy -config templates/google.com_gsuite.json

4. Ver la página web en su navegador.

Modlishka en acción contra un esquema de autenticación habilitado 2FA (SMS) de ejemplo:



En el siguiente video se puede ver cómo opera la herramienta aprovechando la interfaz original de Google y cómo evade (y obtiene) las credenciales de acceso, inclusive utilizando doble factor de autenticación.

Phishing with Modlishka (bypass 2FA) from Piotr Duszynski on Vimeo.

El siguiente enlace se puede usar para ver su página de prueba iniciada. Puede observar cómo el parámetro "ident" está oculto para el usuario en una primera solicitud:

https://loopback.modlishka.io?ident=user_tracking_param.

Las credenciales recopiladas se pueden encontrar en el archivo de "registro" (log) o a través de uno de los complementos incluidos (esto incluye la suplantación de la sesión, aunque aún en versión beta):


El atacante solo necesita un nombre de dominio para el phishing que alojará en el servidor de Modlishka y un certificado TLS válido para que el usuario no sea alertado por la falta de una conexión HTTPS.

Y como muchos otros, nos preguntamos si el lanzamiento de esta herramienta en GitHub no supone un riesgo o una razón para preocuparse, ya que muchos jóvenes con ganas de hacerse conocidos entre sus pares (o incluso grupos cibercriminales) pueden perfectamente aprovechar Modlishka para montar un sitio de phishing sin necesidad de tener demasiados conocimientos técnicos. Duszyński fue consultado por el portal ZDNet acerca de por qué decidió lanzar una herramienta como esta que puede resultar peligrosa. Y la respuesta del desarrollador fue que “es necesario asumir que sin una prueba de concepto que demuestre las posibilidades de lo que se puede hacer, el riesgo es tratado como algo teórico y esto hace que no se tomen medidas reales para resolver el problema de manera adecuada”.

SI bien el investigador polaco aseguró que la herramienta fue creada con fines educativos y para realizar pruebas de penetración legítimas, también manifestó que no se hará responsable de ningún tipo de acción realizada por parte de los usuarios.

FUENTES:

https://www.welivesecurity.com/la-es/2019/01/11/divulgan-herramienta-programar-campanas-phishing-logra-evadir-doble-factor-autenticacion/
https://github.com/drk1wi/Modlishka
https://blog.duszynski.eu/phishing-ng-bypassing-2fa-with-modlishka/

No hay comentarios:

Publicar un comentario

Tus Comentarios son Importantes para Nosotros Siéntete Libre De Opinar