• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Обход Двухфакторной аутентификации c помощью "Modlishka"

Press_F

Press_F

New member
22.09.2019
2
10
Доброе время суток, уважаемые форумчане! Сегодня я вам расскажу о довольно лёгком способе обойти двухфакторную аутентификацию, Уже очень давно в интернете говорят о том, что двухфакторная аутентификация наиболее безопасна, и о том что ее сложно обойти, но это не так. Наверное все знают что большая уязвимость в нынешней системе это человеческий фактор.Так как не нужно использовать эксплойты, и искать различные уязвимости техники. В этой статье я расскажу о том, как обойти двухфакторную аутентификацию с помощью инструмента “Modlishka”, Этот инструмент должен быть очень полезен для тех кто проводит тесты на проникновение, для тех кто хочет провести хорошую фишинговую атаку.

Обход двухфакторной аутентификации

1)Скачивание инструмента
Код:
$ go get -u github.com/drk1wi/Modlishka
$ cd $GOPATH/src/github.com/drk1wi/Modlishka/
2) Настройка плагина “autocert”

Производить настройку нужно только если вы хотите провести фишинговую атаку по доверенному каналу браузера TLS
Код:
$ openssl genrsa -out MyRootCA.key 2048`
$ openssl req -x509 -new -nodes -key MyRootCA.key -sha256 -days 1024 -out MyRootCA.pem
Замените переменную const CA_CERT содержимым файла MyRootCA.pem, а const CA_CERT_KEY содержимым MyRootCA.key в файле который находится по пути plugin/autocert.go.

3) Скомпилируйте и запустите тестовую конфигурацию “Modlishka”
Код:
$ make
$ sudo ./dist/proxy -config templates/google.com_gsuite.json
Данная ссылка может быть использована для просмотра запущенной тестовой страницы. Вы можете заметить, как параметр « ident » скрыт от пользователя при первом запросе: .

Собранные учетные данные жертвы можно найти в файле 'log' или с помощью одного из включенных плагинов:

Обход Двухфакторной аутентификации c помощью "Modlishka"


Обход Двухфакторной аутентификации c помощью "Modlishka"


4) Настройте свои параметры

Если вам нравится инструмент. Вы можете начать настройку конфигурации для выбранного вами домена. Модлишка может быть легко настроена с помощью набора доступных параметров командной строки или файлов конфигурации JSON.

Итог
Вы наверное думаете что двухфакторная авторизация сломалась?
Нет, но с правильным обратным прокси-сервером, нацеленным на ваш домен по зашифрованному каналу связи, которому доверяет браузер, взаправду можно не заметить, что что-то не так.

Если учесть отсутствие осведомленности пользователей, это означает, что вы отдаете свои ценные активы.
В конце концов, даже сложные системы защиты безопасности могут выйти из строя, если не будет достаточной осведомленности пользователей и наоборот.
В данный момент единственный способ решения этой проблемы с технической точки зрения - полностью полагаться на аппаратные токены двухфакторной аутентификации, основанные на протоколе U2F . Вы можете легко купить их онлайн. Однако не стоит забывать, что правильная осведомленность пользователей не менее важна.
Немножко советов:
1)используйте аппаратные токены U2F в качестве второго фактора аутентификации.

2)используйте менеджеры паролей, которые будут проверять правильность имени домена в вашем браузере, прежде чем вставлять пароль.

3)постоянно повышать осведомленность пользователей о нынешних методах социальной инженерии.

Мне кажется, что без рабочего доказательства концепции, которая на самом деле доказывает эту точку зрения, риск рассматривается как теоретический, и никаких мер для надлежащего решения не предпринимается. отсутствие правильной осведомленности о риске является подходящей ситуацией для злоумышленников, которые с радостью воспользуются ей.

P.S. Я не призываю проводить фишинговые атаки против компаний. Но чтобы вы были осведомлены о риске, использую один популярный сервис в качестве доказательства концепции.


На этом всё, спасибо за уделенное внимание, и драгоценные минуты времени. Удачи!
 
N4G4

N4G4

New member
29.09.2019
3
4
На самом деле тебе не кажется, дело в том что человек не всегда бдителен, а ведомый своими инстинктами и вообще может очень сильно обжечься, я тут как то проводил эксперимент, есть браузер с отключенным яваскриптом, если выключено всё то почти все порно сайты не работают, так вот человек наплевав на свою безопасность отключил их и все таки посещал такие сайты. Более того, если человеку понравилась картинка с девочкой, но когда тыкаешь на кнопочку "получить все фото" выпадает окно авторизации в вк, он вводит данные даже не задумываясь, потому-что он сейчас возбужден и вопрос безопасности в его мозгу на втором плане, печально что даже понимая это человек может все равно зайти. Забавная штука человеческий мозг. Тема грязная но рабочая)
 
  • Нравится
Реакции: Press_F, Baton и Глюк
Глюк

Глюк

Red Team
03.01.2018
1 025
1 789
На самом деле тебе не кажется, дело в том что человек не всегда бдителен, а ведомый своими инстинктами и вообще может очень сильно обжечься, я тут как то проводил эксперимент, есть браузер с отключенным яваскриптом, если выключено всё то почти все порно сайты не работают, так вот человек наплевав на свою безопасность отключил их и все таки посещал такие сайты. Более того, если человеку понравилась картинка с девочкой, но когда тыкаешь на кнопочку "получить все фото" выпадает окно авторизации в вк, он вводит данные даже не задумываясь, потому-что он сейчас возбужден и вопрос безопасности в его мозгу на втором плане, печально что даже понимая это человек может все равно зайти. Забавная штука человеческий мозг. Тема грязная но рабочая)
согласен на 100500%. во время любого эмоционального всплеска, мыслительные процессы в мозгу отключаются. и человеческое существо переходит в режим "автопилота", т.е. на работу по программе "животный инстинкт". эта программа усиливается при выбросе адреналина. "хлеба и зрелищ", во все времена самая безотказная формула управления массами хомо эректусов. ))) так что, други, хоть это и грязная тема, но пользоваться ей нужно. хотя бы для того, чтобы научить "глупых хазар" включать голову во время "животных желаний". )))
 
Мы в соцсетях: