Обережно, загроза! З’явився новий засіб обходу двофакторної аутентифікації

Обійти двофакторну аутентифікацію (2FA) та автоматизувати фішингові атаки дозволяє новий засіб проникнення. Про це повідомляє видання “Компъютерное обозрение“.

Працює цей засіб наче зворотний проксі-сервер, модифікований для роботи з трафіком для сторінок входу і фішингових операцій.

Він розташовується між користувачем і цільовим веб-сайтом, наприклад, Gmail, Yahoo! або ProtonMail. Жертва отримує справжній контент від справжнього сайту, проте весь трафік і всі взаємодії жертви з сайтом проходять через сервер зловмисників.

Зворотний проксі-сервер реєструє паролі, що вводяться користувачем, а якщо конфігурація екаунта передбачає двофакторну аутентифікацію, тоді також і токени 2FA. Власник сервера може в реальному часі застосовувати ці токени для завантаження в екаунт жертви та відкриття нових законних сесій на захищеному сайті.

Автор цього інструменту – польський розробник Піотр Душинський (Piotr Duszyński). Він вважає, що поява подібного простого у використанні засобу здатна докорінно змінити ситуацію у сфері мережевої безпеки. Адже довіра до двофакторної аутентифікації серйозно похитнулася у грудні минулого року, коли організація Amnesty International опублікувала звіт, продемонструвавши, що злочинці за підтримки урядів вже почали застосовувати фішингові схеми, здатні обходити 2FA.

Зворотний проксі, який отримав назву Modlishka, може автоматизувати подолання перевірок 2FA, які ґрунтуються на SMS та одноразових кодах. Однак він неефективний проти схем U2F, які передбачають використання апаратних ключів безпеки.