Modlishka: la nova eina de pesca no destinat a la 2FA

L’investigador de seguretat polonès Piotr Duszynski ha llançat recentment una eina de prova de penetració anomenada Modlishka. Aquesta eina ofereix als seus usuaris la possibilitat d’expressar l’autenticació de dos factors. Anteriorment aclamat com a rei de la seguretat, els darrers mesos han demostrat que és possible que 2FA no sigui tan segura com esperaves. Seguiu per entendre què és / fa Modlishka i com heu de procedir amb la seguretat del vostre compte.

Modlishka: la nova eina de pesca no destinat a la 2FA

Modlishka: la nova eina de pesca no destinat a la 2FA

Què és Modlishka?

Modlishka és una eina inversa de proxy que permet a un atacant enganyar un objectiu per donar-los la seva contrasenya i el seu codi 2FA.

Deixa’m explicar.

En altres paraules, és un proxy que se situa entre un usuari i el seu lloc previst. En lloc de mostrar a la destinació un lloc web totalment esporàdic, el servidor intermediari mostra el contingut real de l’usuari del lloc web real. Això fa que sigui molt difícil per a algú descobrir que estan estafats.

Modlishka intercepta tot el trànsit que va de l’usuari al lloc web. En altres paraules, un atacant pot veure la contrasenya i el codi d’autenticació que un usuari posa i accedir al compte real de la víctima en temps real..

L’eina és de codi obert i es pot descarregar des de Github i, si bé està dirigida a investigadors de seguretat de White Hat, no hi ha res que impedeixi que un pirata informàtic utilitzi aquesta eina..

Haig de deixar d’utilitzar 2FA?

Absolutament no.
Sí, 2FA es pot veure compromès, però això no vol dir que una opció millor sigui simplement no tenir cap funció de seguretat addicional. Penseu-hi, si us dic que un lladre pot tallar el pany frontal de casa amb una eina de soldadura, vol dir que no és important el pany de la porta principal? No. Així com, 2FA segueix sent un estàndard de la indústria i hi ha coses que podeu fer per consolidar la vostra autenticació.

Els investigadors en seguretat encara recomanen molt utilitzar 2FA. Ells estan d’acord que la funció no és el final de tota la seguretat futura, però és un pas en la direcció correcta.

En general, totes les mesures de seguretat en línia passen per un joc de gat i ratolí viciós entre experts de seguretat i actors dolents. Es tracta sempre d’una cursa per trobar una vulnerabilitat per arreglar o per abusar. Això no us hauria de descoratjar a utilitzar les funcions de seguretat que suggereixen els experts.

No obstant això, hauria de fer molt evident que els usuaris d’internet tenen l’obligació de mantenir-se tan informats sobre la seva seguretat en línia com sigui possible. Ja han quedat els dies en què només podem fer servir un servei sense fer la nostra pròpia investigació i estar informat sobre el que passa al món electrònic és el pas més important que pots fer per protegir la teva seguretat.

Com mantenir els meus comptes segurs

Encara podeu fer coses per assegurar-vos que us protegeu contra eines com Modlishka. A partir del model d’amenaça d’aquesta eina, hi ha dues coses que podeu utilitzar per ajudar-vos a protegir els vostres comptes:

Utilitzeu UFA en lloc de 2FA

Com he apuntat anteriorment, Modlishka espatlla 2FA.

Més concretament, fa malbé els codis 2FA que ha d’introduir un usuari. Tant si obteniu el codi per SMS (altament poc fiable) com mitjançant un generador de codi, el fet que cal que el torni a escriure és el que fa que 2FA sigui vulnerable.

Si sou un usuari d’internet d’alt perfil o algú que té molt a perdre al no assegurar-se els seus comptes, us recomano anar a la fitxa 2FA: 2FA.

Els tokens 2FA són molt més fiables que els generadors de codi, ja que es basen en el maquinari. No cal que escriviu res, només heu d’introduir el testimoni. Funcionen en una cosa que s’anomena protocol U2F (autenticació Universal de segon factor), que ofereix a l’usuari una clau universal per verificar tots els seus comptes..

Fins ara, només hi ha dues empreses que fabriquen aquests testimonis U2F: Google i Yubico.

Tanmateix, necessiteu comprar aquestes claus, però no són exactament barates. És per això que us proposo que feu aquest pas si teniu un gran risc de ser piratejat. Tot i això, aquests són els productes més segurs que podeu obtenir avui. Aquest tipus d’autenticació també fa mudar Modlishka, ja que no hi ha res que el pirata informàtic pugui malmetre.

Les fitxes funcionen soles. Tot el que heu de fer és utilitzar l’autenticació USB o Bluetooth (Google només ofereix aquesta funció) i heu definit.

Utilitzeu un gestor de contrasenyes

Per tant, aquest Modlishka és una eina basada en la pesca. És a dir, l’objectiu total és enganyar un usuari a pensar que està escrivint la seva contrasenya i el token / codi 2FA en un lloc web legítim. En altres paraules, si heu aconseguit esbrinar que el lloc que esteu veient és un fals que no recaureu en la estafa..

Perquè un atacant utilitzi Modlishka, ha de registrar un nom de domini personalitzat al lloc que acabes veient. Realista parlant, si intenteu iniciar la sessió a Gmail, però us heu dirigit a un lloc que utilitza un nom de domini diferent de Gmail, probablement sigui un lloc web de phishing, oi?

Dret. El fet és que la gent no sol comprovar els noms de domini. Els humans som criatures d’hàbit. No espero que tots comenceu a comprovar de sobte tots els llocs que feu servir per veure si el nom de domini és exacte.

Tot i això, sóc una mena de banca amb la idea que utilitzeu un gestor de contrasenyes que us desi les contrasenyes o que sigueu d’acord a “recordar la contrasenya” al navegador predeterminat que feu servir..

Si ja teníeu obert Gmail i trobàveu la contrasenya que ja teníeu escrivida, sereu una mica llançats si això no passa, oi? Doncs bé, els llocs esporàdics de Modlishka no tindran les vostres contrasenyes desades … el que significa que podreu dir que alguna cosa no funciona correctament i deixar-vos de lliurar a l’atacant qualsevol informació que desitgi..

Si us preocupa guardar una contrasenya en un navegador, utilitzeu un gestor de contrasenyes al seu lloc. Bàsicament fa el mateix i accelera el procés d’inici de sessió. És senzill, assequible i t’ajuda a veure quan un lloc és de phishing per la teva informació..

Modlishka i l’amenaça a 2FA – Pensaments finals

Escolteu, la seguretat a Internet sempre ha estat a l’hora d’intentar detectar vulnerabilitats abans que un pirata informàtic pugui. És un procés continu, però no és una “batalla perduda” en absolut. El millor que podem fer és assegurar-nos que estem actualitzats de manera constant amb qualsevol nova campanya de pesca. Ser usuari informat us permet ajudar a limitar la quantitat d’errors humans, cosa que us converteix en un objectiu difícil per a estafes de phishing.
Què en penses d’aquesta nova eina? Creus que l’expert que l’ha elaborat hauria d’haver-ho obert? Avisa’m als comentaris que es mostren a continuació.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me