Um pesquisador de segurança polonês, chamado Piotr Duszyński, desenvolveu uma nova ferramenta para testes de penetração que foi batizada como Modlishka e que, de acordo com suas próprias palavras, "permite que campanhas de phishing cheguem a um nível mais alto e com o mínimo de esforço". A ferramenta pode ser usada para se passar por sites populares como Yahoo ou Gmail.
Segundo expicou Duszyński, em sua conta do GitHub, o Modlishka foi criado apenas para fins educacionais e só pode ser usado em testes de penetração legítimos.
Alguns dos principais recursos oferecidos por essa ferramenta de proxy reverso são: suporte para a maioria dos esquemas de autenticação 2FA (por design); indicar qual domínio é direcionado para que seja automaticamente manipulado sem a necessidade de modelos de sites; controle absoluto do fluxo de tráfego de origem TLS que passa pelo navegador da vítima; possibilidade de configurar facilmente possíveis cenários de phishing através das opções de configuração; remoção de criptografia e headers de segurança dos sites; coleta de dados de login de usuários, entre outras funcionalidades.
Como funciona? O Modlishka está localizado entre o usuário e o site escolhido. Ao receber o endereço para acessar sua conta, a vítima está realmente passando por um estágio intermediário pelo servidor Modlishka e o componente de proxy reverso faz uma solicitação ao site simulado. Desta forma, a vítima obtém conteúdo autêntico de um site legítimo, mas todo o tráfego e interações realizadas pela vítima passam pelo servidor Modlishka, onde são gravados os nomes de usuários e senhas digitadas que, em seguida, o operador da ferramenta pode visualizar em um painel de controle.
Além disso, se o usuário tiver configurado a autenticação de dois fatores, a ferramenta solicitará que o site legítimo envie o token de 2FA, desde que seja baseado em SMS.
Como mencionamos na descrição das funcionalidades, a ferramenta não usa modelos, uma vez que todo o conteúdo é extraído do site legítimo em tempo real, o que significa que não é necessário que os invasores invistam tempo no design de modelos que sejam convincentes para os usuários.
No vídeo a seguir, você pode ver como a ferramenta funciona aproveitando a interface original do Google e como evita (e obtém) as credenciais de acesso, inclusive utilizando a autenticação de dois fatores.
O invasor precisa apenas de um nome de domínio para o phishing que se hospedará no servidor Modlishka e um certificado TLS válido para que o usuário não seja alertado pela falta de uma conexão HTTPS.
E, como muitos outros, nos perguntamos se o lançamento dessa ferramenta no GitHub não é um risco ou motivo para preocupação, já que muitos jovens que querem se tornar conhecidos entre seus colegas (ou inclusive grupos cibercriminosos) podem aproveitar perfeitamente o Modlishka para criar um site de phishing sem a necessidade de ter muitos conhecimentos técnicos. Duszyński foi questionado pelo portal ZDNet sobre por que ele decidiu lançar uma ferramenta como essa que pode ser perigosa. E a resposta do desenvolvedor foi que "é necessário supor que sem uma prova de conceito que demonstre as possibilidades do que pode ser feito, o risco é tratado como algo teórico e isso significa que não são tomadas medidas reais para resolver o problema de forma adequada."
Embora o pesquisador polonês tenha garantido que a ferramenta foi criada para fins educacionais e para realizar testes de penetração legítimos, ele também afirmou que não se responsabilizará por nenhum tipo de ação realizada pelos usuários.
Para o chefe do Laboratório de Pesquisa da ESET América Latina, Camilo Gutiérrez, "conhecer a existência desse tipo de ferramenta, além de gerar um sinal de “alerta”, deve servir para compreender como funcionam as ameaças. Embora essa ferramenta seja um passo à frente na sofisticação das campanhas de phishing, entender o modo como ela opera leva à proteção do usuário, que, nesse caso específico, com a revisão meticulosa da URL do site, é possível verificar que não corresponde ao local original e, portanto, não cair em golpes".
Por outro lado, Duszyński disse ao portal que, embora a ferramenta possa automatizar os processos de um site de phishing para conseguir passar por controles de autenticação de dois fatores baseados em SMS e códigos únicos, o Modlishka não funciona bem quando o 2FA tem como base chaves de segurança em hardware.
