Polônes lança ferramenta que ignora 2FA para ataques de phishing

Polônes lança ferramenta que ignora 2FA para ataques de phishing

Um pesquisador publicou no GitHub uma ferramenta para testes de penetração para fins educacionais que é capaz de criar facilmente campanhas de phishing e até ignorar a autenticação de dois fatores (2FA).

Um pesquisador publicou no GitHub uma ferramenta para testes de penetração para fins educacionais que é capaz de criar facilmente campanhas de phishing e até ignorar a autenticação de dois fatores (2FA).

Um pesquisador de segurança polonês, chamado Piotr Duszyński, desenvolveu uma nova ferramenta para testes de penetração que foi batizada como Modlishka e que, de acordo com suas próprias palavras, “permite que campanhas de phishing cheguem a um nível mais alto e com o mínimo de esforço”. A ferramenta pode ser usada para se passar por sites populares como Yahoo ou Gmail.

Segundo expicou Duszyński, em sua conta do GitHub, o Modlishka foi criado apenas para fins educacionais e só pode ser usado em testes de penetração legítimos.

Alguns dos principais recursos oferecidos por essa ferramenta de proxy reverso são: suporte para a maioria dos esquemas de autenticação 2FA (por design); indicar qual domínio é direcionado para que seja automaticamente manipulado sem a necessidade de modelos de sites; controle absoluto do fluxo de tráfego de origem TLS que passa pelo navegador da vítima; possibilidade de configurar facilmente possíveis cenários de phishing através das opções de configuração; remoção de criptografia e headers de segurança dos sites; coleta de dados de login de usuários, entre outras funcionalidades.

Como funciona? O Modlishka está localizado entre o usuário e o site escolhido. Ao receber o endereço para acessar sua conta, a vítima está realmente passando por um estágio intermediário pelo servidor Modlishka e o componente de proxy reverso faz uma solicitação ao site simulado. Desta forma, a vítima obtém conteúdo autêntico de um site legítimo, mas todo o tráfego e interações realizadas pela vítima passam pelo servidor Modlishka, onde são gravados os nomes de usuários e senhas digitadas que, em seguida, o operador da ferramenta pode visualizar em um painel de controle.

Além disso, se o usuário tiver configurado a autenticação de dois fatores, a ferramenta solicitará que o site legítimo envie o token de 2FA, desde que seja baseado em SMS.

Como mencionamos na descrição das funcionalidades, a ferramenta não usa modelos, uma vez que todo o conteúdo é extraído do site legítimo em tempo real, o que significa que não é necessário que os invasores invistam tempo no design de modelos que sejam convincentes para os usuários.

No vídeo a seguir, você pode ver como a ferramenta funciona aproveitando a interface original do Google e como evita (e obtém) as credenciais de acesso, inclusive utilizando a autenticação de dois fatores.

Phishing with Modlishka (bypass 2FA) from Piotr Duszynski on Vimeo.

O invasor precisa apenas de um nome de domínio para o phishing que se hospedará no servidor Modlishka e um certificado TLS válido para que o usuário não seja alertado pela falta de uma conexão HTTPS.

E, como muitos outros, nos perguntamos se o lançamento dessa ferramenta no GitHub não é um risco ou motivo para preocupação, já que muitos jovens que querem se tornar conhecidos entre seus colegas (ou inclusive grupos cibercriminosos) podem aproveitar perfeitamente o Modlishka para criar um site de phishing sem a necessidade de ter muitos conhecimentos técnicos. Duszyński foi questionado pelo portal ZDNet sobre por que ele decidiu lançar uma ferramenta como essa que pode ser perigosa. E a resposta do desenvolvedor foi que “é necessário supor que sem uma prova de conceito que demonstre as possibilidades do que pode ser feito, o risco é tratado como algo teórico e isso significa que não são tomadas medidas reais para resolver o problema de forma adequada.”

Embora o pesquisador polonês tenha garantido que a ferramenta foi criada para fins educacionais e para realizar testes de penetração legítimos, ele também afirmou que não se responsabilizará por nenhum tipo de ação realizada pelos usuários.

Para o chefe do Laboratório de Pesquisa da ESET América Latina, Camilo Gutiérrez, “conhecer a existência desse tipo de ferramenta, além de gerar um sinal de “alerta”, deve servir para compreender como funcionam as ameaças. Embora essa ferramenta seja um passo à frente na sofisticação das campanhas de phishing, entender o modo como ela opera leva à proteção do usuário, que, nesse caso específico, com a revisão meticulosa da URL do site, é possível verificar que não corresponde ao local original e, portanto, não cair em golpes”.

Por outro lado, Duszyński disse ao portal que, embora a ferramenta possa automatizar os processos de um site de phishing para conseguir passar por controles de autenticação de dois fatores baseados em SMS e códigos únicos, o Modlishka não funciona bem quando o 2FA tem como base chaves de segurança em hardware.

Discussão