Seguridad

Divulgan herramienta para programar campañas de phishing capaz de evadir el 2FA

Un investigador publicó en GitHub una herramienta para pruebas de penetración con fines educativos que es capaz de crear campañas de phishing de manera sencilla y que incluso logra suplantar servicios con autenticación de doble factor (2FA).

Un investigador de seguridad polaco llamado Piotr Duszyński desarrolló una nueva herramienta para pruebas de penetración que denominó Modlishka y que, según sus propias palabras, “permite realizar campañas de phishing a un nivel superior y con el mínimo esfuerzo”. La herramienta se puede utilizar para suplantar incluso sitios web populares como Yahoo o Gmail.

Como explica Duszyński en su cuenta de GitHub, Modlishka se creó únicamente con fines educativos y solo se puede utilizar en pruebas de penetración legítimas.

Algunas de las principales características de esta herramienta de proxy inverso son: compatibilidad con la mayoría de los esquemas de autenticación de doble factor; la solo necesidad de indicar a Modlishka cuál es el dominio apuntado para que automáticamente sea manipulado sin necesidad de templates de sitios web; control absoluto del flujo de tráfico TLS de origen que pasa por el navegador de la víctima; possibilità de configurar de manera simple posibles escenarios de phishing a través de las opciones de configuración; remoción de los sitios web todo grabado y headers de seguridad; recolección de credenciales de usuarios, entre otras funcionalidades más.

¿Como funciona? Modlishka se encuentra entre el usuario y el sitio web seleccionado. Al recibir la dirección para ingresar a su cuenta, la víctima en realidad está pasando por una etapa intermedia a través del servidor Modlishka y el componente de proxy inverso. hace una solicitud al sitio cuya identidad se está suplantando. De esta forma, la víctima obtiene contenido auténtico de un sitio legítimo, pero todo el tráfico e interacciones que realiza la víctima pasan por el servidor de Modlishka, donde hay un registro del nombre de usuario y la contraseña ingresados, que luego el operador del sitio herramienta puede observar en un panel de control.

Asimismo, si el usuario tiene configurado el factor de doble autenticación, la herramienta solicita al sitio legítimo que envía la clave correspondiente al factor de doble autenticación, siempre que sea en base a SMS.

Como mencionamos en la descripción de las características, la herramienta no usa plantillas, eso sí todo el contenido se extrae del sitio legítimo en tiempo realcon lo cual, no es necesario que los atacantes inviertan tiempo en el diseño de plantillas que resulten creíbles para los usuarios.

En el siguiente video se puede ver cómo opera la herramienta aprocheando la interfasa original de Google y cómo evadir (y obtener) las credenciales de acceso, inclusive utilizando doble factor de autenticación.

El atacante solo necesita un nombre de dominio de phishing que estará alojado en el servidor Modlishka y un certificado TLS válido para que el usuario no sea alertado por la falta de una conexión HTTPS.

Y como tantos otros, nos preguntamos si la liberación de esta herramienta en GitHub no supone un riesgo o un motivo de preocupación, porque muchos jóvenes con ganas de conocerse entre sus compañeros (o incluso entre grupos de ciberdelincuentes) perfectamente pueden utilizar Modlishka para montar un sitio de phishing sin necesidad de tener demasiados conocimientos técnicos. Duszyński fue consultado por el portal ZDNet sobre por qué decidió lanzar una herramienta como esta que puede ser peligrosa. Y la respuesta del desarrollador fue que “hay que asumir que sin una prueba de concepto que demuestre las posibilidades de lo que se puede hacer, el riesgo se trata como algo teórico y esto hace que no se tomen medidas reales para solucionar el problema de manera adecuada”. ”.

SI bien el investigador polaco aseguró que la herramienta fue creada con fines educativos y para realizar pruebas de penetración legítimas, también manifestó que no será responsable de ningún tipo de acción realizada por parte de los usuarios.

Para el Jefe del Laboratorio de ESET Latinoamérica, Camilo Gutiérrez, “conocer la existencia de este tipo de herramientas, más allá de generar una alarma debe servir para entender y comprender cómo funcionan las amenazas. Si bien esta herramienta es un paso adelante en la sofisticación de las campañas de phishing, la comprensión de su funcionamiento conduce a la protección del usuario, que en este caso se puntúa con una revisión minuciosa de la URL del sitio web. por lo tanto no caer en el engaño”.

Por otro lado, Duszyński dijo a los medios que, si bien la herramienta puede automatizar los procesos de un sitio de phishing para que pueda pasar controles de autenticación de dos factores basados ​​en SMS y códigos de un solo uso, Modlishka no funciona bien cuando el doble factor de autenticación que se basa en claves de seguridad en hardware.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!