اگر تصور می‌کنید اعتبار سنجی دو مرحله‌ای  (2FA) یا همان تأیید دو مرحله‌ای می‌تواند از شما در برابر هکرها محافظت کند، شاید بد نباشد بدانید یک پژوهشگر امنیتی لهستانی ابزاری ارائه کرده است که قادر به اجرای خودکار حملات فیشینگ آن هم با توانایی دور زدن 2FA است. استفاده از این برنامه که بر روی GitHub قرار گرفته، بسیار آسان است و هکرها به آسانی می‌توانند اطلاعات حساب‌های شما را به دست بیاورند.

برنامه مورد بحث Modlishka نام دارد و در اصل یک Reverse Proxy است که میان قربانی و وب سایت‌ها قرار می‌گیرد  و امکان سرقت اطلاعات را به هکر می‌دهد. ابزارهای سنتی فیشینگ غالباً بسیار پیچیده هستند و به کد نویسی نیاز دارند اما Modlishka منحصر به فرد است. این برنامه ساده به آسانی امکان به سرقت بردن اطلاعات حساب‌های مختلف را می‌دهد و بی نیاز از هرگونه کُد نویسی است.

2019-01-16-image-6.png

Modlishka از طریق شنود ترافیک ارسالی کاربر به سرور وب سایت هدف کار می‌کند. برای اجرای این حملات کافی است هکر یک گواهی ارزان قیمت TLS به دست بیاورد و پس از قرار گرفتن در بین مسیر، ترافیک کاربر را به سرورهای وب سایت درخواستی هدایت کند. از آنجایی که Modlishka یک Reverse Proxy است، به طراحی صفحات جعلی نیاز نیست و کاربر دقیقاً به نسخه وب سایت‌ها وصل می‌شود و حتی خدمات یا محتوای درخواستی را به دور از هرگونه دست‌کاری دریافت می‌کند. با این حال اطلاعات وارد شده (چون کلمه عبور) برای هکر فرستاده می‌شود. مزیت دیگر این ابزار، مشکوک نشدن کاربر به صفحات است، چراکه دقیقاً همان نسخه اصلی برای او بارگذاری می‌شود و خبری از صفحات دستکاری‌شده و شبیه سازی شده نیست.
هنگامی که کاربر می‌خواهد به صفحه دلخواه خود لاگین کند، همه چیز عادی به نظر می‌رسد اما در پس پرده ابتدا اطلاعات وارد شده به سمت سرور Modlishka فرستاده می‌شود تا هکر بتواند آنها را استخراج کند. پس از آن Modlishka  اطلاعات وارد شده را به سرور واقعی می‌فرستد تا کاربر بتواند در وب سایت درخواستی لاگین کند و متوجه هیچ چیز نشود. Modlishka  به هدایت کردن تمامی ترافیک کاربر ادامه می‌دهد تا همانند حملات معمول بتوان آن را شنود و در صورت نیاز دست‌کاری کرد. حتی اگر وب سایت یا سرویسی که کاربر تقاضا می‌کند توسط تأیید هویت دو مرحله‌ای محافظت شود، باز هم اطلاعات حساب برای هکر ارسال می‌شود.

پس از آنکه هکر اطلاعات کاربری و کلید معتبر 2FA  را به چنگ آورد، قادر خواهد بود همانند کاربر اصلی به حساب او وارد شود. خالق این ابزار کُد منبع آن را با هدف ارتقای سطح آگاهی کاربران و متخصص‌های امنیت بر روی GitHub  آپلود کرده است.

البته این ابزار به تنهایی نمی‌تواند حساب کاربری هدف را هک کند و هنوز نیاز است خود قربانی اطلاعات حساب کاربری خود را وارد کند. همچنین ضروری است هکر بلافاصله اطلاعات شنود شده را استخراج کند تا پیش از باطل شدن کلید 2FA بتواند به حساب کاربر وارد شود. همچنین Modlishka  قادر به دور زدن تأیید هویت Universal Second Factor (U2F) نیست.

نظر خود را اضافه کنید.

ارسال نظر بدون عضویت در سایت

0

نظرات (7)

  • مهمان - نشاناس

    سلام

    اونقدراهم آسون نیست بعضی سایت ها امنیتُ رعایت نمی کننن و زیاد از کدهای جاوا اسکریپت استفاده می کنن
    این نرم افزار اوتوماتیک هم انجام بده بازهم نمی تونه اونقدر مرحلرو تکرار کنه که پسورد درست در بیاد
    از پسورد که نمیشه رد شد
    کلا اگر کسی 2 مرحله کنه یعنی سیستم امنیتی وارد کردن حروف تصویر بذاره و تعداد دفعات تکرار رو محدود کنه هکر چطوری می خواد هک کنه مگر اینکه پسوردو درست حدس بزنه در غیر این صورت بخواد با یک نرم افزار اوتوماتیک اینکارو انجام بده پیدا کردن یک پسورد 8 حرفی بالای 10 سال زمان میبره
    سایت هایی که مسائل امنیتیُ رعایت نمی کنن و سایتشونو میدن با وردپرس ئ با کمترین هزینه براشون بسازن باید انتظار هک شدن هم داشته باشن نهایت کار امنیتی که انجام میدن اینه که پشوردُ هش شده ذخیره می کنن ولی هیچ کاری برای امنیت متغیرها و کوئری ها نمی کنن
    بعضی سایت ها انقدر افتضاح درست شدن بزور لود میشن چند روز پیش به همچین سایتی برخورد کردم که یک صفحرو بزرو لود می کرد انگار داره بازی اجرا می کنه

  • مهمان - N@T,MaTTeR

    در پاسخ به: مهمان - نشاناس

    اتفاقا از نظر تئوری بسیار خوب هم میشه اینکارو کرد.
    این برنامه های واسط کی لاگر درونشون هست. وقتی شما پسورد و کد دومی که دریافت کردین رو تایپ میکنید کی لاگر موجود در برنامه هر دو رو دریافت میکنه. بهترین راه جلوگیری لو رفتن، عدم تایپ پسورد هست. بعبارتی یه فایل حاوی اطلاعات حسابتون درست کنید و پسورد رو از روش کپی و بعد پیست کنید. البته مواظب باشین تو اون فایل همه اطلاعات حساب نباشه که اگه لو رفت دچار مشکل نشین. مثلا کد CVV2 کارتتون یا رمز اینترنتی (رمز دوم) توش نباشه.

  • مهمان - نشاناس

    در پاسخ به: مهمان - N@T,MaTTeR

    سلام

    هیچ راهی برای هک کردن کسی که مسائل امنیتیُ رعایت می کنه نیست چه کاربر معمولی و چه اون کسی که سایت داره
    حتی اگر یک گروه هکر با هوش بسیار بالا و سازماندهی شده بخوان یک سایتُ هک کنن حتی اگر موفق بشن که اطلاعات دیتابیس رو دریافت کنن ولی اگر مدیر سایت مسائل امنیتیُ رعایت کرده باشه هیچ اطلاعات درستی از دیتابیس دست هکرها نمیوفته
    اینکه میبینیم خبر هک شدن بعضی از سایت ها بزرگ میاد و هکرها عکس از اطلاعات لو رفته کاربرا می ذارن یا اینکه یک سایت در اثر هجو یکدفعه تعداد بسیار زیادی از کاربران یا حمله ddos از دسترس خارج میشه اینا همش سیا بازی هست
    خودم با یک ترفند خیلی خیلی ساده یک تابعی نوشتم که تمام اطلاعات رو توی دیتابیس بصورت fake ذخیره می کنه یعنی همه چی و دقیقا بصورت صحیح به نمایش در میاد
    کلا اگر بخوام حساب کنم مداوم چقدر پاش بودم نهایتا میشه 7 یا 8 ساعت
    هکر حتی اگر کله دیتابیس رو بدست بیاره مدیر سایت با خیال راحت می تونه بگه نوش جونت و هکر فکر می کنه اطلاعات هش شده هستند درحالی که نیستند و هیچی گیرش نمیاد مگر اینکه کلیدُ بدست بیاره یعنی تابعی که دیکود می کنه که برای اینکار باید خوده هاستُ هک کنن که بتونه فایلی که تابع توش نوشته شدرو ببینه
    بعد سایت های بزرگی مثله نتفلیکس یا تویتر یا فیسبوک و غیره از پس همچین کاری برنمیان
    اینا عمدا اینکارارو انجام نمیدن همش سیا بازی هست
    حتی باگ نرم افزار ها یا بازی ها همینطور بعضی از شرکت های بازی سازی که دیگه لو رفتن که عمدا باگ می ذارن توی بازی
    برنامه نویسی که بر پایه شی گرایی یعنی کلاسُ تابع باشه هیچ جایی واسه خطا نداره و اگر جایی مشکل باشه خیلی راحت چون همه چیز بخش بخش یعنی جداگانه نوشته شده میشه اون خطارو برطرف کرد حتی نیازی نیست دنبال خطا گشت

    مدیر یک سایت هرچقدرم سایت ایمنی داشته باشه ولی کاربر مسائل ایمنی رو رعایت نکنه نمیشه جلوی هک شدن رو گرفت
    من خودم چیزی که زیاد توجهم بهش هست آدرس صفحه اینترنتی هست

    اگر هردو مسائل امنیتیُ رعایت کنن حتی اگر تمام هکرهای دنیا با هم همکاری کنن علیه اون سایت بازهم موفق به هک نمیشن حتی نمی تونن سایتُ از کار بندازن با حمله ی ddos

  • سرقت اطلاعات در مرحله Submit یوزر و پسورد شما صورت میگیره، پس چه کپی پیست کنید چه تایپ کنید چه از برنامه مدیریت پسورد استفاده کنید، فرقی نمی کنه.

  • مهمان - :) :(

    کمتر هک کنید مارو لطفا با این خبرها :(

  • مهمان - ravi

    عجب دنیایی شده:)

  • علی برکت ا... :D:o

ورود به شهرسخت‌افزار

ثبت نام در شهر سخت افزار
ورود به شهر سخت افزار

ثبت نام در شهر سخت افزار

نام و نام خانوادگی(*)
لطفا نام خود را وارد کنید

ایمیل(*)
لطفا ایمیل خود را به درستی وارد کنید

رمز عبور(*)
لطفا رمز عبور خود را وارد کنید

شماره موبایل
Invalid Input

جزو کدام دسته از اشخاص هستید؟(*)

لطفا یکی از موارد را انتخاب کنید