网络钓鱼工具绕过Github上发布的Gmail 2FA

一位安全研究人员发布了一种工具，该工具可以绕过在Gmail和Yahoo等平台上广泛使用的大量双因素身份验证(2FA)方案。波兰研究员PiotrDuszyński在GitHub上发布了他的工具，该工具使用了反向代理方法， 并附有逐步指南，概述了如何在网络钓鱼骗局中使用它来破坏用户凭据和2FA代码 - 在一个例子中反对Google的安全障碍。

部署后，该工具会将名为Modlishka的服务器放置在网络钓鱼目标和安全平台(如Gmail)之间，网络钓鱼受害者会无意中连接到该网络以输入登录详细信息。

在假设的网上诱骗广告系列中，目标用户会遇到一封恶意电子邮件，其中包含指向模仿Google登录程序的代理服务器的链接。然后，用户将输入他们的用户名和密码，然后输入2FA代码(例如通过文本消息接收)，所有这些代码都将被收集并保存在代理服务器上。

使用Modlishka(绕过2FA)从Piotr Duszynski在Vimeo上进行网络钓鱼。为了使攻击成功，将要求恶意行为者实时监视此过程，并在过期之前输入2FA代码以获得进入。由于其简单性，假设使用Modlishka编排网络钓鱼活动的攻击者不需要像通常那样重新创建任何网站。所需要的只是网络钓鱼域和有效的TLS证书。

“那么问题出现了，2FA被打破了吗?” Duszyński说。“完全没有，但是通过一个正确的反向代理，通过一个加密的，浏览器信任的通信渠道来定位您的域名，在注意到某些内容严重错误时，确实会遇到严重困难。

“添加不同的浏览器错误，允许URL栏欺骗，问题可能更大。包括缺乏用户意识，它实际上意味着在银盘上向你的对手赠送你最宝贵的资产。”

Duszyński已经在Gmail和雅虎等平台上成功测试了他的工具。

他说这个工具仅用于渗透测试和教育目的，因此对2FA作为防御入侵者和恶意行为者的有效保护层表示怀疑。特别是，Modlishka可用于使网络钓鱼活动“尽可能有效”。

他补充说，从技术角度解决这个问题的唯一方法是依靠基于通用第二因子协议(U2F)的硬件令牌; 这是专门用作身份验证模块的硬件设备，不需要用户手动输入代码。

最近几个月，常见的2FA例程的可靠性已经暴露出来，特别是由于社会新闻聚合器Reddit去年由于其安全性不足而导致的大规模数据泄露事件。

在拦截了少数员工基于SMS的2FA设置并获得对其帐户的访问权限后，恶意行为者取消了大量用户凭据，包括电子邮件地址。

Reddit的首席技术官Chris Slowe表示，事件发生后，该公司意识到基于短信的2FA“并不像我们希望的那样安全”，并建议所有人都转移到基于令牌的2FA。

与此同时，据报道，去年发现的一种恶意软件被称为漫游螳螂，据报道，这种攻击基于针对Android的攻击机制，该机制破解了2FA并劫持了用户的谷歌帐户。

安全专家Graham Cluley告诉 IT专业人员 该工具可以在实践中发挥作用，但用户可以通过使用基于硬件的2FA或密码管理器来保护自己免受Modlishka中心网络钓鱼活动的影响。

“阅读有关Modlishka的消息听起来似乎有用，代理真实网站的内容，使网络钓鱼网站非常可信，并拦截输入的任何信息，如密码和2FA代码，”他说。

“2FA代码往往受时间限制，通常每30秒更换一次。因此，攻击者可能必须实时监控网络钓鱼，以最大限度地提高帐户访问权限。

“因此，这是一个令人印象深刻的演示 - 但用户应继续使用密码管理器，唯一密码，并尽可能启用2FA。”