一位安全研究人員發(fā)布了一種工具，該工具可以繞過在Gmail和Yahoo等平臺上廣泛使用的大量雙因素身份驗(yàn)證(2FA)方案。波蘭研究員PiotrDuszyński在GitHub上發(fā)布了他的工具，該工具使用了反向代理方法， 并附有逐步指南，概述了如何在網(wǎng)絡(luò)釣魚騙局中使用它來破壞用戶憑據(jù)和2FA代碼 - 在一個(gè)例子中反對Google的安全障礙。

部署后，該工具會(huì)將名為Modlishka的服務(wù)器放置在網(wǎng)絡(luò)釣魚目標(biāo)和安全平臺(如Gmail)之間，網(wǎng)絡(luò)釣魚受害者會(huì)無意中連接到該網(wǎng)絡(luò)以輸入登錄詳細(xì)信息。

在假設(shè)的網(wǎng)上誘騙廣告系列中，目標(biāo)用戶會(huì)遇到一封惡意電子郵件，其中包含指向模仿Google登錄程序的代理服務(wù)器的鏈接。然后，用戶將輸入他們的用戶名和密碼，然后輸入2FA代碼(例如通過文本消息接收)，所有這些代碼都將被收集并保存在代理服務(wù)器上。

使用Modlishka(繞過2FA)從Piotr Duszynski在Vimeo上進(jìn)行網(wǎng)絡(luò)釣魚。為了使攻擊成功，將要求惡意行為者實(shí)時(shí)監(jiān)視此過程，并在過期之前輸入2FA代碼以獲得進(jìn)入。由于其簡單性，假設(shè)使用Modlishka編排網(wǎng)絡(luò)釣魚活動(dòng)的攻擊者不需要像通常那樣重新創(chuàng)建任何網(wǎng)站。所需要的只是網(wǎng)絡(luò)釣魚域和有效的TLS證書。

“那么問題出現(xiàn)了，2FA被打破了嗎?” Duszyński說。“完全沒有，但是通過一個(gè)正確的反向代理，通過一個(gè)加密的，瀏覽器信任的通信渠道來定位您的域名，在注意到某些內(nèi)容嚴(yán)重錯(cuò)誤時(shí)，確實(shí)會(huì)遇到嚴(yán)重困難。

“添加不同的瀏覽器錯(cuò)誤，允許URL欄欺騙，問題可能更大。包括缺乏用戶意識，它實(shí)際上意味著在銀盤上向你的對手贈(zèng)送你最寶貴的資產(chǎn)。”

Duszyński已經(jīng)在Gmail和雅虎等平臺上成功測試了他的工具。

他說這個(gè)工具僅用于滲透測試和教育目的，因此對2FA作為防御入侵者和惡意行為者的有效保護(hù)層表示懷疑。特別是，Modlishka可用于使網(wǎng)絡(luò)釣魚活動(dòng)“盡可能有效”。

他補(bǔ)充說，從技術(shù)角度解決這個(gè)問題的唯一方法是依靠基于通用第二因子協(xié)議(U2F)的硬件令牌; 這是專門用作身份驗(yàn)證模塊的硬件設(shè)備，不需要用戶手動(dòng)輸入代碼。

最近幾個(gè)月，常見的2FA例程的可靠性已經(jīng)暴露出來，特別是由于社會(huì)新聞聚合器Reddit去年由于其安全性不足而導(dǎo)致的大規(guī)模數(shù)據(jù)泄露事件。

在攔截了少數(shù)員工基于SMS的2FA設(shè)置并獲得對其帳戶的訪問權(quán)限后，惡意行為者取消了大量用戶憑據(jù)，包括電子郵件地址。

Reddit的首席技術(shù)官Chris Slowe表示，事件發(fā)生后，該公司意識到基于短信的2FA“并不像我們希望的那樣安全”，并建議所有人都轉(zhuǎn)移到基于令牌的2FA。

與此同時(shí)，據(jù)報(bào)道，去年發(fā)現(xiàn)的一種惡意軟件被稱為漫游螳螂，據(jù)報(bào)道，這種攻擊基于針對Android的攻擊機(jī)制，該機(jī)制破解了2FA并劫持了用戶的谷歌帳戶。

安全專家Graham Cluley告訴 IT專業(yè)人員 該工具可以在實(shí)踐中發(fā)揮作用，但用戶可以通過使用基于硬件的2FA或密碼管理器來保護(hù)自己免受Modlishka中心網(wǎng)絡(luò)釣魚活動(dòng)的影響。

“閱讀有關(guān)Modlishka的消息聽起來似乎有用，代理真實(shí)網(wǎng)站的內(nèi)容，使網(wǎng)絡(luò)釣魚網(wǎng)站非?？尚?，并攔截輸入的任何信息，如密碼和2FA代碼，”他說。

“2FA代碼往往受時(shí)間限制，通常每30秒更換一次。因此，攻擊者可能必須實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)釣魚，以最大限度地提高帳戶訪問權(quán)限。

“因此，這是一個(gè)令人印象深刻的演示 - 但用戶應(yīng)繼續(xù)使用密碼管理器，唯一密碼，并盡可能啟用2FA。”