自動網絡釣魚攻擊的工具出現了什麼意味著什麼?

automated phishing attacks

網絡釣魚一直被認為是最簡單的網絡犯罪類型之一。近年來,網絡釣魚工具包和模板已經使欺騙受害者的任務變得更容易放棄他們的用戶名和密碼。儘管如此,所述工具包從未真正實現過即插即用。到現在為止,似乎。

隨著人們對在線威脅變得更加警惕,詐騙者也必須在他們的創作中投入更多精力。使用傳統的網絡釣魚工具包,在部署頁面之前,網絡釣魚者必須進行大量配置。偽造的登錄頁面需要比以往更有說服力,並且需要受到SSL證書的保護。更重要的是,詐騙者需要確保在正確記錄之前檢查被盜憑證,如果他們真的想要成功,他們應該找到一種打敗雙因素身份驗證(2FA)的方法。由於在年初發布的新工具,許多這些家務活都可以消除。

認識Modinalka,最終的網絡釣魚工具

Modlishka是Mantis的波蘭語單詞(或者至少是它的英語發音)。它也是滲透測試員PiotrDuszyński開發的新型網絡釣魚工具的名稱。

使用Modlishka,啟動網絡釣魚活動可以像設置域和運行一些命令一樣簡單。本質上,該工具充當反向代理,位於用戶和他們認為正在訪問的網站之間。網絡釣魚者不需要創建或設置任何虛假頁面,因為Modlishka基本上向受害者提供原始登錄表單。使用正確的憑據,用戶可以像往常一樣登錄並繼續他們的業務。然而,他們並不知道,所有流量都通過Modlishka,這意味著用戶名,密碼和其他細節會立即暴露出來。

即使2FA也不匹配Modlishka

雙因素身份驗證是傳統網絡釣魚的大敵。 我們相信 ,它的目的是確保騙子不會僅使用您的登錄憑據侵入您的帳戶。在大多數情況下,它的工作做得很好,但如果涉及Modlishka,它的大多數傳統形式都是無用的。再次,這是因為受害者通過反向代理髮送2FA代碼,並且網絡釣魚者實時獲取它們。

無論代碼是通過短信發送還是由應用生成,都可能被盜。不受Modlishka影響的唯一2FA形式是U2F

你怎麼能避免成為Modlishka的受害者?

像Modlishka一樣聰明,如果你足夠小心,它就無法欺騙你。為了工作,它需要託管在域上,並且該域永遠不會與合法網站的域相同。因此,就像常規網絡釣魚一樣,避免Modlishka取決於您的勤奮。請務必仔細檢查瀏覽器地址欄中的網址,避免點擊您不確定的鏈接. 這裡的關鍵不在於騙局,因為如果你這樣做,就沒有什麼可以告訴你騙子竊取了你的登錄數據。

出版Modlishka是一個有爭議的舉動

作為一名滲透測試員,PiotrDuszyński的工作是確保組織和用戶對網絡攻擊更具彈性。他的大多數工作都圍繞著模擬,而他創造這個工具的事實並不令人驚訝。然而,他讓每個人都可以訪問的事實有點令人費解。

Modlishka可以從GitHub下載,如果您不知道如何使用它,Duszyński已經通過易於遵循的說明進行了裝飾。現在,即使是最不稱職的腳本小子(對於那些沒有技巧和想要在互聯網上打破東西的想要的網絡犯罪分子的行話術語)也可以採用一種非常強大的網絡釣魚工具並用它來造成相當大的破壞。為什麼Duszyński將Modlishka公之於眾?

告訴ZDNet ,如果沒有一個工作工具,每個人都可以自己測試,這個概念將被視為理論,而Modlishka則提高了對基於代碼的2FA系統不安全性的認識。我們會讓你自己決定這是否是一個足夠好的理由。

January 28, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
3 + 10是什麼?