11.01.2019

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ

Инструмент для проведения тестов на проникновение Modlishka, который опубликован в начале года, способен автоматизировать фишинговые атаки. Так же с помощью данной программы злоумышленники могут взломать аккаунты, защищенные двухфакторной аутентификацией.

Программа представляет собой обратный прокси, приспособленный под трафик страниц авторизации и фишинговых операций. Сервер Modlishka устанавливается между пользователем и атакуемым ресурсом (например, Gmail, Yahoo или ProtonMail). Жертва подключается к серверу, на котором расположен фишинговый домен, и обратный прокси делает запрос к сайту, за который он себя выдает. Жертва получает настоящий контент от легитимного ресурса, но весь трафик проходит через сервер Modlishka, и вводимые ею пароли записываются.

Modlishka запрашивает у жертвы токены двухфакторной аутентификации в случае, если этого требуют настройки учетной записи. Если атакующий может собирать токены в режиме реального времени, это дает ему возможность авторизоваться в чужих учетных записях и инициировать новые легитимные сеансы. Таким образом, Modlishka избавляет фишеров от необходимости использовать «клоны» настоящих сайтов для заманивания жертв. Поскольку пользователь получает контент от настоящего ресурса, у злоумышленников нет нужды тратить драгоценное время на подготовку и настройку подделки. Достаточно лишь иметь доменное имя для фишингового сайта, размещенного на сервере Modlishka, и сертификат TLS, чтобы браузер не предупреждал жертву об опасности использования незащищенного соединения. Завершающий шаг – создание простого конфигурационного файла для направления жертвы на легитимный ресурс до того, как она успеет заметить подозрительное доменное имя.

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» для защиты от фишинговых атак рекомендуют: