Un nouvel outil automatise les attaques de phishing contournant la double authentification

Un nouvel outil de test d’intrusion publié au début de l’année par un chercheur en sécurité peut automatiser les attaques de phishing avec une facilité inégalée et même ignorer les opérations de connexion pour les comptes protégés par une authentification à deux facteurs (2FA).

 

Nommé Modlishka – la prononciation anglaise du mot polonais pour mantis – ce nouvel outil a été créé par le chercheur polonais Piotr Duszyński.

Modlishka est ce que les professionnels de l’informatique appellent un proxy inverse (Reverse Proxy, ndlr), mais modifié pour gérer le trafic destiné aux pages de connexion et aux opérations de phishing.

Il se situe entre un utilisateur et un site Web cible, comme Gmail, Yahoo ou ProtonMail. Les victimes d’hameçonnage se connectent au serveur Modlishka (hébergeant un domaine d’hameçonnage) et le composant de proxy inverse situé derrière envoie des requêtes au site à imiter.

La victime reçoit un contenu authentique du site légitime (par exemple, Google, par exemple), mais tout le trafic et toutes les interactions de la victime avec le site légitime transitent et sont enregistrés sur le serveur Modlishka.

 

Tous les mots de passe qu’un utilisateur peut entrer sont automatiquement enregistrés dans le panneau principal de Modlishka, tandis que le proxy inverse invite également les utilisateurs à fournir des jetons 2FA lorsque les utilisateurs ont configuré leurs comptes pour en demander un.

Si des attaquants sont sur place pour collecter ces jetons 2FA en temps réel, ils peuvent les utiliser pour se connecter aux comptes des victimes et établir des sessions nouvelles et légitimes.

 

La vidéo ci-dessous montre comment un site de phishing optimisé par Modlishka charge de manière transparente le contenu à partir de la véritable interface de connexion Google sans utiliser de modèles, et consigne les informations d’identification et le code 2FA qu’un utilisateur peut consulter.

En raison de cette conception simple, Modlishka n’utilise aucun « modèle », terme utilisé par les phishers pour décrire les clones de sites légitimes. Étant donné que tout le contenu est extrait du site légitime en temps réel, les attaquants n’ont pas besoin de passer beaucoup de temps à mettre à jour et à ajuster les modèles.

[embedded content]

Phishing with Modlishka (bypass 2FA) from Piotr Duszynski on Vimeo.

Au lieu de cela, tous les attaquants ont besoin d’un nom de domaine de phishing (à héberger sur le serveur Modlishka) et d’un certificat TLS valide pour éviter d’alerter les utilisateurs de l’absence de connexion HTTPS.

La dernière étape consiste à configurer un simple fichier de configuration qui renvoie les victimes sur les véritables sites légitimes à la fin de l’opération de phishing avant qu’elles ne repèrent le domaine de phishing à l’apparence sommaire.

La double authentification ne suffit plus

Dans un courrier électronique adressé à ZDNet, Duszyński a décrit Modlishka comme un système point-and-click et facile à automatiser nécessitant une maintenance minimale, contrairement aux anciens outils de phishing utilisés par d’autres testeurs d’intrusion.

« Au moment où j’ai démarré ce projet (début 2018), mon objectif principal était de créer un outil facile à utiliser, qui éliminerait la nécessité de préparer des modèles de page Web statiques pour chaque campagne d’hameçonnage que je réalisais, » a déclaré le chercheur.

« L’approche consistant à créer un proxy inverse universel et facile à automatiser, en tant qu’acteur de MITM, semblait être la direction la plus naturelle. Malgré certains défis techniques qui ont émergé sur cette voie, le résultat global a paru être vraiment enrichissant », a-t-il ajouté. 

« L’outil que j’ai écrit change la donne, puisqu’il peut être utilisé comme un proxy ‘pointer-cliquer’, qui permet une automatisation facile des campagnes de phishing avec prise en charge intégrale de la norme 2FA (à l’exception des jetons basés sur le protocole U2F – qui est actuellement la seule authentification multifacteur résiliente).

« Certains cas nécessitent un réglage manuel (en raison d’un code JavaScript obfusqué ou, par exemple, d’attributs de sécurité de balises HTML tels que » intégrité « ), mais ceux-ci sont entièrement pris en charge par l’outil et seront également améliorés dans les prochaines versions », a déclaré Duszyński.

Un rapport d’Amnesty International publié en décembre a montré que des acteurs soutenus par des etats avaient déjà commencé à utiliser des systèmes de phishing capables de contourner déjà la 2FA.

Un outil pour qui? 

Aujourd’hui, certains craignent que Modlishka réduise les barrières à l’entrée pour permettre aux «script kiddies» de configurer des sites de phishing en quelques minutes avec des competences limitées. En outre, cet outil permettrait aux groupes de cybercriminalité d’automatiser facilement la création de pages de phishing plus faciles à gérer et plus difficiles à détecter par les victimes.

Lorsque nous lui avons demandé pourquoi il avait publié un outil aussi dangereux sur GitHub, Duszyński a eu une réponse assez intrigante.

« Nous devons faire face au fait que sans une preuve de concept fonctionnelle, le risque est traité comme théorique, et aucune mesure réelle n’est prise pour y remédier correctement », a-t-il déclaré.

« Ce statu quo, ainsi que le manque de prise de conscience du risque, constituent une situation idéale pour les acteurs malveillants qui l’exploiteront avec bonheur. »

Duszyński a déclaré que bien que son outil puisse automatiser le processus d’un site de phishing en passant par des contrôles 2FA basés sur des SMS et des codes uniques, Modlishka est inefficace par rapport aux systèmes basés sur U2F qui reposent sur des clés de sécurité matérielles.
Modlishka est disponible sur Github. Des informations supplémentaires sont également disponibles sur le blog de Duszyński.

Cet article est une traduction de  « New tool automates phishing attacks that bypass 2FA » initialement publié sur ZDNet.com

Source

Nous utilisons des cookies pour personnaliser le contenu et les publicités, pour fournir des fonctionnalités de médias sociaux et pour analyser notre trafic. Nous partageons également des informations sur votre utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d'analyse qui peuvent les combiner avec d'autres informations que vous leur avez fournies ou qu'ils ont collectées lors de votre utilisation de leurs services. Vous consentez à nos cookies si vous continuez à utiliser notre site Web.
Cookies settings
Accepter
Privacy & Cookie policy
Privacy & Cookies policy
Cookie name Active

Qui sommes-nous ?

L’adresse de notre site Web est : https://www.banquegratuite.com

Cookies publicitaires Google

Nous utilisons des cookies pour faciliter la diffusion des annonces sur les sites Web de nos partenaires, tels que ceux diffusant des annonces Google ou membres d'un réseau publicitaire agréé par Google. Lorsqu'un utilisateur visite ce type de site, un cookie peut être placé dans son navigateur. Les fournisseurs tiers, y compris Google, utilisent des cookies pour diffuser des annonces en fonction des visites antérieures des internautes sur votre site Web ou sur d'autres pages. Grâce aux cookies publicitaires, Google et ses partenaires adaptent les annonces diffusées auprès de vos visiteurs en fonction de leur navigation sur vos sites et/ou d'autres sites Web. Cliquez ici pour savoir comment Google utilise les informations fournies par les cookies

Utilisation des données personnelles collectées

Commentaires

Quand vous laissez un commentaire sur notre site web, les données inscrites dans le formulaire de commentaire, mais aussi votre adresse IP et l’agent utilisateur de votre navigateur sont collectés pour nous aider à la détection des commentaires indésirables. Une chaîne anonymisée créée à partir de votre adresse de messagerie (également appelée hash) peut être envoyée au service Gravatar pour vérifier si vous utilisez ce dernier. Les clauses de confidentialité du service Gravatar sont disponibles ici : https://automattic.com/privacy/. Après validation de votre commentaire, votre photo de profil sera visible publiquement à coté de votre commentaire.

Médias

Si vous êtes un utilisateur ou une utilisatrice enregistré·e et que vous téléversez des images sur le site web, nous vous conseillons d’éviter de téléverser des images contenant des données EXIF de coordonnées GPS. Les visiteurs de votre site web peuvent télécharger et extraire des données de localisation depuis ces images.

Formulaires de contact

Cookies

Si vous déposez un commentaire sur notre site, il vous sera proposé d’enregistrer votre nom, adresse de messagerie et site web dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an. Si vous avez un compte et que vous vous connectez sur ce site, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur. Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé. En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’ID de la publication que vous venez de modifier. Il expire au bout d’un jour.

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site. Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.

Statistiques et mesures d’audience

Utilisation et transmission de vos données personnelles

Durées de stockage de vos données

Si vous laissez un commentaire, le commentaire et ses métadonnées sont conservés indéfiniment. Cela permet de reconnaître et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modération. Pour les utilisateurs et utilisatrices qui s’enregistrent sur notre site (si cela est possible), nous stockons également les données personnelles indiquées dans leur profil. Tous les utilisateurs et utilisatrices peuvent voir, modifier ou supprimer leurs informations personnelles à tout moment (à l’exception de leur nom d’utilisateur·ice). Les gestionnaires du site peuvent aussi voir et modifier ces informations.

Les droits que vous avez sur vos données

Si vous avez un compte ou si vous avez laissé des commentaires sur le site, vous pouvez demander à recevoir un fichier contenant toutes les données personnelles que nous possédons à votre sujet, incluant celles que vous nous avez fournies. Vous pouvez également demander la suppression des données personnelles vous concernant. Cela ne prend pas en compte les données stockées à des fins administratives, légales ou pour des raisons de sécurité.

Transmission de vos données personnelles

Les commentaires des visiteurs peuvent être vérifiés à l’aide d’un service automatisé de détection des commentaires indésirables.

Save settings
Cookies settings