Modlishka – Le nouvel outil de phishing qui cible la 2FA

Le chercheur polonais en sécurité Piotr Duszynski a récemment publié un outil de test de pénétration appelé Modlishka. Cet outil offre à ses utilisateurs la possibilité d’usurper l’authentification à deux facteurs. Précédemment salué comme le roi de la sécurité, ces derniers mois ont montré que 2FA n’était peut-être pas aussi sécurisé que vous l’espériez. Lisez la suite pour comprendre ce que Modlishka est / fait et comment vous devez procéder avec la sécurité de votre compte.


Modlishka - Le nouvel outil de phishing qui cible la 2FA

Modlishka – Le nouvel outil de phishing qui cible la 2FA

Qu’est-ce que Modlishka?

Modlishka est un outil de proxy inverse qui permet à un attaquant de tromper une cible en lui donnant son mot de passe et son code 2FA.

Laisse-moi expliquer.

En d’autres termes, il s’agit d’un proxy qui se situe entre un utilisateur et le site auquel il est destiné. Au lieu de montrer à la cible un site Web complètement usurpé, le proxy montre à l’utilisateur le contenu réel du vrai site Web. Il est donc très difficile pour quiconque de comprendre qu’il est victime d’une arnaque.

Modlishka intercepte tout le trafic aller-retour entre l’utilisateur et le site Web. En d’autres termes, un attaquant peut voir le mot de passe et le code d’authentification saisis par un utilisateur, et accéder au compte réel de la victime en temps réel.

L’outil est open source et peut être téléchargé depuis Github, et bien qu’il soit destiné aux chercheurs en sécurité de White Hat, rien n’empêche un pirate d’utiliser également l’outil.

Dois-je arrêter d’utiliser 2FA?

Absolument pas.
Oui, 2FA peut être compromis, mais cela ne signifie pas qu’une meilleure option consiste simplement à ne pas avoir de fonctionnalité de sécurité supplémentaire. Pensez-y, si je vous dis qu’un voleur peut percer la serrure avant de votre maison avec un outil de soudage, cela signifie-t-il que la serrure de votre porte d’entrée n’est pas importante? Non. En l’état, 2FA est toujours un standard de l’industrie, et il y a des choses que vous pouvez faire pour solidifier votre authentification.

Les chercheurs en sécurité recommandent toujours fortement d’utiliser 2FA. Ils conviennent que la fonctionnalité n’est pas la fin de toute sécurité future, mais c’est un pas dans la bonne direction.

En général, toutes les mesures de sécurité en ligne passent par un jeu de chat et de souris vicieux entre les experts en sécurité et les mauvais acteurs. C’est toujours une course pour trouver une vulnérabilité à corriger ou à abuser. Cela ne devrait pas vous décourager d’utiliser les fonctionnalités de sécurité suggérées par les experts..

Cependant, il devrait être très évident que les internautes ont l’obligation de rester aussi informés que possible sur leur sécurité en ligne. Il est révolu le temps où nous pouvons simplement utiliser un service sans faire nos propres recherches, et être informé de ce qui se passe dans le monde électronique est l’étape la plus importante que vous pouvez prendre pour protéger votre sécurité.

Comment sécuriser mes comptes

Il y a encore des choses que vous pouvez faire pour vous assurer que vous vous protégez contre des outils comme Modlishka. Sur la base du modèle de menace de cet outil, voici deux choses que vous pouvez utiliser pour vous aider à protéger vos comptes:

Utiliser UFA au lieu de 2FA

Comme je l’ai noté ci-dessus, Modlishka parodie 2FA.

Plus précisément, il usurpe les codes 2FA qu’un utilisateur doit saisir. Que vous obteniez le code par SMS (très peu fiable) ou via un générateur de code, le fait de devoir le saisir à nouveau est ce qui rend vulnérable 2FA.

Si vous êtes un utilisateur Internet de haut niveau ou quelqu’un qui a beaucoup à perdre en ne sécurisant pas ses comptes, je vous suggère d’opter pour les jetons 2FA: 2FA ultimes.

Les jetons 2FA sont beaucoup plus fiables que les générateurs de code car ils sont basés sur le matériel. Vous n’avez pas besoin de taper quoi que ce soit, il vous suffit de brancher le jeton. Ils fonctionnent sur quelque chose appelé un protocole U2F (Universal 2nd Factor Authentication), qui offre à l’utilisateur une clé universelle pour vérifier tous ses comptes..

Jusqu’à présent, seules 2 sociétés fabriquent ces jetons U2F: Google et Yubico.

Cependant, vous devez acheter ces clés et elles ne sont pas vraiment bon marché. C’est pourquoi je vous suggère de suivre cette étape si vous êtes à haut risque d’être piraté. Cependant, ce sont les produits les plus sûrs que vous puissiez obtenir aujourd’hui. Ce type d’authentification rend également Modlishka muet, car il n’y a rien que le pirate puisse usurper.

Les jetons fonctionnent seuls. Tout ce que vous avez à faire est d’utiliser l’authentification USB ou Bluetooth (Google seul propose cette fonctionnalité) et vous êtes prêt.

Utilisez un gestionnaire de mots de passe

Donc, ce Modlishka est un outil basé sur le phishing. En d’autres termes, tout l’objectif est d’inciter un utilisateur à penser qu’il tape son mot de passe et son jeton / code 2FA sur un site Web légitime. En d’autres termes, si vous avez réussi à comprendre que le site que vous consultez est un faux, vous ne craindrez pas l’arnaque.

Pour qu’un attaquant utilise Modlishka, il doit enregistrer un nom de domaine personnalisé pour le site que vous finissez par voir. De manière réaliste, si vous essayez de vous connecter à Gmail mais que vous êtes dirigé vers un site qui utilise un nom de domaine différent de Gmail, c’est probablement un site Web de phishing, non?

Droite. Le fait est que les gens ne vérifient généralement pas les noms de domaine. Les humains sont des créatures d’habitude. Je ne m’attends pas à ce que vous commenciez soudainement à vérifier chaque site que vous utilisez pour voir si le nom de domaine est exact.

Cependant, je parie sur l’idée que vous utilisez un gestionnaire de mots de passe qui enregistre vos mots de passe pour vous, ou que vous avez accepté de “mémoriser le mot de passe” dans le navigateur par défaut que vous utilisez.

Si vous avez l’habitude d’ouvrir Gmail et de trouver votre mot de passe déjà tapé, vous serez un peu gêné si cela ne se produit pas, non? Eh bien, les sites usurpés de Modlishka n’auront pas vos mots de passe enregistrés sur eux … ce qui signifie que vous pourrez dire que quelque chose ne va pas et vous empêcher de donner à l’attaquant les informations qu’il souhaite.

Si vous souhaitez enregistrer un mot de passe dans un navigateur, utilisez plutôt un gestionnaire de mots de passe. Il fait essentiellement la même chose et accélère le processus de connexion. Il est simple, abordable et vous aide à voir quand un site phishing pour vos informations.

Modlishka et la menace à 2FA – Réflexions finales

Écoutez, la sécurité sur Internet a toujours été d’essayer de détecter les vulnérabilités avant qu’un pirate ne le puisse. C’est un processus continu, mais ce n’est pas du tout une «bataille perdue». La meilleure chose que nous puissions faire est de nous assurer que nous sommes constamment à jour avec toute nouvelle campagne de phishing. Être un utilisateur averti vous aide à limiter la quantité d’erreurs humaines, ce qui fait de vous une cible difficile pour les escroqueries par phishing.
Que pensez-vous de ce nouvel outil? Pensez-vous que l’expert qui l’a réalisé aurait dû l’open source? Faites le moi savoir dans les commentaires ci-dessous.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map