Инструмент Modlishka может использоваться фишерам для обхода двухфакторной аутентификации - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
11-01-2019, 09:00
Инструмент Modlishka может использоваться фишерам для обхода двухфакторной аутентификации - «Новости»
Рейтинг:
Категория: Новости

");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});
Рекомендуем почитать:

Xakep #237. Даркнет 2018

  • Содержание выпуска

  • Подписка на «Хакер»

Польский ИБ-специалист Петр Душиньский (Piotr Duszynski) опубликовал на GitHub свою разработку, названную Modlishka. В первую очередь инструмент ориентирован на пентестеров, однако злоумышленники могут использовать его для автоматизации фишинговых атак и даже обхода двухфакторной аутентификации.


По сути Modlishka представляет собой обратный прокси (reverse proxy), модифицированный специально для работы с трафиком со страниц логина и для фишинговых операций. Modlishka размещается между жертвой фишера и целевым сайтом (Gmail, Yahoo, ProtonMail). Когда пользователь подключается к серверу Modlishka на фишинговом домене, обратный прокси обращается к настоящему сайту, за который пытается себя выдать. В итоге жертва видит контент с настоящего сайта, однако весь ее трафик при этом проходит через сервер Modlishka.


Любые учетные данные, которые вводит пользователь, автоматически сохраняются в бэкэнде Modlishka. Инструмент помогает даже перехватывать введенные пользователем одноразовые коды двухфакторной аутентификации, и если атакующий будет действовать достаточно быстро, в реальном времени, он сможет использовать эти коды для входа в аккаунт жертвы.


Демонстрацию работы Modlishka можно увидеть в ролике ниже.




Так как Modlishka не использует никаких шаблонов и работает напрямую с целевым сайтом, потенциальному злоумышленнику не нужно тратить время на тонкую настройку и «клонирование» легитимного ресурса. В сущности, понадобится только фишинговый домен и действительный TLS-сертификат, чтобы пользователи не получали предупреждений об отсутствии HTTPS .


Сам разработчик описывает Modlishka как point-and-click решение, которое крайне просто настроить и автоматизировать, в отличие от многих других фишинговых тулкитов для пентестеров.


Когда журналисты издания ZDNet поинтересовались у Душиньский, не опасается ли он, что его инструментом будут пользоваться не только пентестеры, но и преступники, которым Modlishka может существенно облегчить жизнь, он ответил так:


«Нужно признать, что без работающего proof-of-concept, который по-настоящему доказывает [серьезность проблемы], риск так и остается теоретическим, и никаких реальных мер не предпринимается. Данный статус-кво и плохая информированность об угрозе создают идеальные условия для злоумышленников, которые будут рады использовать проблему».



Источник новостиgoogle.com



Теги: CSS, Modlishka фишинговых использовать двухфакторной целевым

Просмотров: 761
Комментариев: 0:   11-01-2019, 09:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: