2019 год начинается с нового интересного софта Modlishka, который предназначен для тестов на проникновение (то есть, в «белых целях»), но вообще-то позволяет с невиданной доселе легкостью обходить двухфакторную аутентификацию и осуществлять фишинговые атаки в авторежиме.
Разработал софт польский исследователь Петр Душиньски (Piotr Duszyński). Программа, получившая название Modlishka (от польского modliszka – богомол), в техническом смысле представляет собой обратный прокси, который приспособили под трафик страниц авторизации и фишинговых операций.
Для работы сервер Modlishka внедряется между пользователем и атакуемым ресурсом (например, Gmail, Yahoo или ProtonMail). Жертва, таким образом, подключается к серверу, на котором расположен фишинговый домен, и обратный прокси делает запрос к сайту, за который он себя выдает. Хотя сам пользователь в итоге получает настоящий контент от легитимного ресурса, так как весь трафик проходит через сервер Modlishka, то вводимые пароли записываются и могут быть использованы злоумышленником.
Но и это еще не все. Modlishka запрашивает у жертвы также и токены двухфакторной аутентификации в случае, если этого требуют настройки учетной записи. Если у хакера есть возможность собирать токены в режиме реального времени, то он получает способность авторизоваться в чужих учетных записях и инициировать новые легитимные сеансы.
Таким образом, Modlishka избавляет фишеров от необходимости использовать «клоны» настоящих сайтов для заманивания жертв. Можно вообще ничего не создавать, а просто иметь доменное имя для фишингового сайта, размещенного на сервере Modlishka, и сертификат TLS, чтобы браузер не предупреждал жертву об опасности использования незащищенного соединения.
Ранее «Лаборатория Касперского» в с воем прогнозе на 2019 год, основанном на текущих тенденциях в киберугрозах и цифровом мире в целом , предсказала, что фишинг будет совершенствоваться за счет двух факторов: массовые утечки данных из соцсетей и корпораций и машинное обучение с помощью нейросетей.
