Fastweb

Attacchi di phishing automatizzati, conoscerli per combatterli

SafeHalo Smartphone & Gadget #automobili #sicurezza SafeHalo disattiva chiamate e messaggi di testo all'interno della macchina Un dispositivo elettronico in grado di bloccare chiamate e messaggi dal cellulare finché si è all'interno dell'abitacolo della propria vettura, un nuovo modo per evitare gli incidenti
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Attacchi di phishing automatizzati, conoscerli per combatterli FASTWEB S.p.A.
phishing
Web & Digital
Di colpo l'autenticazione a due fattori non è più così sicura

Un nuovo strumento di test per l'hackeraggio, pubblicato all'inizio dell'anno da un ricercatore di sicurezza informatica, può automatizzare gli attacchi di phishing con una facilità mai vista prima e può anche far saltare le operazioni di accesso per gli account protetti dall'autenticazione a due fattori (2FA).

Chiamato Modlishka - la pronuncia inglese della parola polacca per mantide - questo nuovo strumento è stato creato dal ricercatore polacco Piotr Duszy?ski.

Modlishka è ciò che i professionisti IT chiamano un proxy inverso ma modificato per gestire il traffico destinato alle pagine di accesso e alle operazioni di phishing.

Si trova di fatto tra un utente e un sito web di destinazione, come Gmail, Yahoo o ProtonMail. Le vittime di phishing si connettono al server Modlishka (che ospita un dominio di phishing) e il componente di proxy inverso dietro manda richieste al sito che vuole impersonare.

La vittima riceve contenuti autentici dal sito legittimo, ad esempio Google, ma tutto il traffico e tutte le interazioni della vittima con il sito legittimo passano e vengono registrate sul server Modlishka.

Qualsiasi password che un utente può immettere, viene automaticamente registrata nel pannello di back-end di Modlishka, mentre il proxy inverso richiede anche agli utenti l'accesso in due fattori, quando gli utenti hanno configurato i loro account per richiederne uno.

Una volta che gli hacker avranno a disposizione questi dati 2FA in tempo reale, potranno usarli per accedere agli account delle vittime e stabilire nuove e legittime sessioni.

Il video qui sotto mostra come un sito di phishing basato su Modlishka carica senza problemi i contenuti dalla vera interfaccia di accesso di Google senza utilizzare i modelli e registra le credenziali e qualsiasi codice 2FA che un utente potrebbe vedere.

A causa di questo semplice design, Modlishka non usa alcun "modello", un termine usato dai phisher per descrivere cloni di siti legittimi. Poiché tutti i contenuti vengono recuperati dal sito legittimo in tempo reale, gli autori di attacchi non devono dedicare molto tempo all'aggiornamento e alla messa a punto dei modelli.

Invece, tutti gli aggressori devono disporre di un nome di dominio phishing (per ospitare sul server Modlishka) e un certificato TLS valido per evitare di avvisare gli utenti della mancanza di una connessione HTTPS.

Il passaggio finale sarebbe attivare un semplice file di configurazione che accompagni le vittime sui siti legittimi reali alla fine dell'operazione di phishing prima che individuino il dominio di phishing dall'aspetto approssimativo.

In una e-mail a ZDNet, Duszy?ski ha descritto Modlishka come un sistema point-and-click e facile da automatizzare che richiede una manutenzione minima, a differenza dei precedenti toolkit di phishing utilizzati da altri tester di penetrazione.

"Nel momento in cui ho iniziato questo progetto (che era agli inizi del 2018), il mio obiettivo principale era scrivere uno strumento facile da usare, che eliminasse la necessità di preparare modelli statici di pagine web per ogni campagna di phishing che stavo svolgendo" il ricercatore ci ha detto.

"L'approccio di creare un proxy inverso universale e facile da automatizzare, come attore del MITM, sembrava essere la direzione più naturale: nonostante alcune sfide tecniche emerse su questo percorso, il risultato complessivo sembrava davvero gratificante", ha aggiunto.

"Lo strumento che ho scritto è una sorta di punto di svolta, dal momento che può essere utilizzato come proxy" punta e clicca ", che consente una facile automazione della campagna di phishing con il pieno supporto di 2FA (un'eccezione è rappresentata da token basati su protocollo U2F - che è attualmente l'unico resiliente).

"Ci sono alcuni casi che richiedono la sintonizzazione manuale (a causa di codice JavaScript offuscato o, ad esempio, attributi di sicurezza dei tag HTML come, integrity), ma questi sono pienamente supportati dallo strumento e saranno anche migliorati nelle versioni future," Duszy?ski ha detto a ZDNet.

Un rapporto di Amnesty International pubblicato a dicembre ha mostrato che gli attori avanzati sponsorizzati dallo stato hanno già iniziato a utilizzare sistemi di phishing che possono già bypassare 2FA.

Ora, molti temono che Modlishka riduca la barriera di ingresso per consentire ai cosiddetti "script kiddies" di creare siti di phishing in pochi minuti, anche con un numero molto inferiore di competenze tecniche richieste. Inoltre, questo strumento consentirebbe ai gruppi di cyber-criminalità di automatizzare facilmente la creazione di pagine di phishing più facili da mantenere e più difficili da rilevare da parte delle vittime.

Quando abbiamo chiesto perché ha rilasciato uno strumento così pericoloso su GitHub, Duszy?ski ha fornito una risposta piuttosto intrigante.

"Dobbiamo comprendere il fatto che senza una prova concreta, che dimostra realmente la cosa, il rischio viene trattato come teorico e non vengono prese misure reali per affrontarlo correttamente", ha affermato.

"Questo status quo e la mancanza di consapevolezza del rischio sono una situazione perfetta per gli attori malintenzionati che lo sfrutteranno felicemente".

Duszy?ski ha detto che mentre il suo strumento può automatizzare il processo di un sito di phishing passando attraverso i controlli 2FA basati su SMS e codici monouso, Modlishka è inefficiente rispetto agli schemi basati su U2F che si basano su chiavi di sicurezza hardware.

28 gennaio 2019

Fonte: zdnet.com

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #phishing #sicurezza #privacy

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.