Die Poolse veiligheidsnavorser Piotr Duszynski het onlangs ‘n penetrasie-toetsinstrument genaamd Modlishka vrygestel. Hierdie instrument bied aan gebruikers die geleentheid om twee-faktor-verifikasie te bedrieg. Die afgelope paar maande is gewys as die veiligheidskoning, en die afgelope maande het bewys dat 2FA dalk nie so veilig is as wat u sou hoop nie. Lees verder om te verstaan ​​wat Modlishka is / doen en hoe u moet gaan met u sekuriteit in u rekening.

Modlishka - die nuwe uitvissingsinstrument wat 2FA teiken

Modlishka – die nuwe uitvissingsinstrument wat 2FA teiken

Wat is Modlishka?

Modlishka is ‘n omgekeerde-instaanbediener waarmee ‘n aanvaller ‘n teiken kan kry om hul wagwoord en 2FA-kode te gee..

Laat ek verduidelik.

Met ander woorde, dit is ‘n instaanbediener wat tussen ‘n gebruiker en die beoogde webwerf staan. In plaas daarvan om die teiken ‘n heeltemal bedriegde webwerf te wys, wys die instaanbediener die werklike inhoud van die regte webwerf. Dit maak dit vir iemand baie moeilik om uit te vind dat hulle bedrieg word.

Modlishka onderskep al die verkeer wat heen en weer van die gebruiker na die webwerf gaan. Met ander woorde, ‘n aanvaller kan die wagwoord en die verifikasiekode wat ‘n gebruiker insit, sien en intyds toegang tot die slagoffer se regte rekening kry.

Die instrument is oop verkrygbaar en kan van Github afgelaai word, en hoewel dit gerig is op White Hat-veiligheidsnavorsers, is daar niks wat ‘n hacker verhinder om die werktuig ook te gebruik nie.

Moet ek ophou om 2FA te gebruik??

Absoluut nie.
Ja, 2FA kan in die gedrang kom, maar dit beteken nie dat ‘n beter opsie eenvoudig is om geen addisionele sekuriteitsfunksie te hê nie. Dink daaraan, as ek jou vertel dat ‘n dief deur die voorste slot van jou huis kan sny met ‘n sweismasjien, beteken dit dan dat die slot van jou voordeur nie belangrik is nie? Nee. Soos tans is 2FA steeds ‘n bedryfsstandaard, en daar is dinge wat u kan doen om u verifikasie te versterk.

Veiligheidsnavorsers beveel steeds die gebruik van 2FA aan. Hulle stem wel dat die funksie nie die einde van alle toekomstige veiligheid is nie, maar dat dit ‘n stap in die regte rigting is.

In die algemeen gaan alle veiligheidsmaatreëls aanlyn deur ‘n kwaadwillige kat-en-muis-spel tussen sekuriteitskenners en slegte akteurs. Dit is altyd ‘n wedloop om ‘n kwesbaarheid vir oplossings of mishandeling te vind. Dit moet u nie ontmoedig om die sekuriteitsfunksies te gebruik wat die kundiges voorstel nie.

Dit moet egter baie duidelik maak dat internetgebruikers ‘n verpligting het om so ingelig te bly oor hul aanlyn-sekuriteit as moontlik. Verby is die dae toe ons net ‘n diens kan gebruik sonder om ons eie navorsing te doen, en om ingelig te wees oor wat in die e-wêreld aangaan, is die belangrikste stap wat u kan neem om u veiligheid te beskerm..

Hoe om my rekeninge veilig te hou

Daar is nog dinge wat u kan doen om seker te maak dat u uself beskerm teen instrumente soos Modlishka. Op grond van die bedreigingsmodel van hierdie instrument, is hier twee dinge wat u kan gebruik om u rekeninge te beskerm:

Gebruik UFA in plaas van 2FA

Soos ek hierbo opgemerk het, bedrieg Modlishka 2FA.

Meer spesifiek, dit bedrieg die 2FA-kodes wat ‘n gebruiker moet invoer. Of u die kode per SMS (hoogs onbetroubaar) of via ‘n kodegenerator kry, die feit dat u dit weer moet invoer, is wat 2FA kwesbaar maak.

As u ‘n hoë profiel internetgebruiker is of iemand wat baie verloor om nie hul rekeninge te beveilig nie, stel ek voor dat u die uiteindelike 2FA: 2FA-tokens gaan gebruik.

2FA-tokens is baie betroubaarder as kodegenerators omdat dit hardeware-gebaseer is. U hoef niks in te tik nie, u hoef net die token in te skakel. Hulle werk op iets wat ‘n U2F-protokol genoem word (Universal 2nd Factor-verifikasie), wat die gebruiker een universele sleutel bied om al hul rekeninge te verifieer.

Daar is tot dusver net twee maatskappye wat hierdie U2F-tokens maak: Google en Yubico.

U moet egter wel hierdie sleutels koop, en dit is nie juis goedkoop nie. Daarom stel ek voor dat u met hierdie stap gaan as u ‘n groot risiko loop om gekap te word. Dit is egter die veiligste produkte wat u vandag kan kry. Hierdie soort verifikasie maak Modlishka ook stom omdat daar niks is wat die hacker kan bedrieg nie.

Die tekens werk op hul eie. Al wat u hoef te doen is om die USB- of Bluetooth-verifikasie te gebruik (Google alleen bied hierdie funksie aan) en u is ingestel.

Gebruik ‘n wagwoordbestuurder

Dus, hierdie Modlishka is ‘n phishing-gebaseerde instrument. Met ander woorde, dit is die hele doel om ‘n gebruiker te mislei om te dink dat hy hul wagwoord en 2FA-token / kode op ‘n wettige webwerf intik. Met ander woorde, as u daarin geslaag het om uit te vind dat die webwerf waarna u kyk, ‘n vals is, val u nie vir die bedrogspul nie.

Vir ‘n aanvaller om Modlishka te gebruik, moet hulle ‘n pasgemaakte domeinnaam registreer vir die webwerf wat u uiteindelik sien. Realisties gesproke, as u probeer om by Gmail aan te meld, maar u na ‘n webwerf verwys wat ‘n ander domeinnaam gebruik as Gmail, is dit waarskynlik ‘n phishing-webwerf, regs?

Reg. Die ding is dat mense gewoonlik nie domeinname nagaan nie. Mense is wesens van gewoonte. Ek verwag nie dat u almal elke webwerf wat u gebruik, skielik moet begin kontroleer om te sien of die domeinnaam akkuraat is nie.

Ek dink egter daaraan dat u ‘n wagwoordbestuurder gebruik wat u wagwoorde vir u stoor, of dat u ingestem het om “die wagwoord te onthou” in die standaardblaaier wat u gebruik.

As u gewoond was aan die opening van Gmail en die vinding van u wagwoord wat reeds ingetik is, sal u ‘n bietjie weggegooi word as dit nie gebeur nie, nie waar nie? Wel, die bedrieglike webwerwe van Modlishka het nie jou gestoorde wagwoorde daarop nie … wat beteken dat jy kan sien dat iets verkeerd is en keer dat die aanvaller die inligting wat hulle wil oorhandig.

As u besorg is oor die stoor van ‘n wagwoord in ‘n blaaier, gebruik eerder ‘n wagwoordbestuurder. Dit doen basies dieselfde ding en bespoedig die aanmeldproses. Dit is eenvoudig, bekostigbaar en help jou om te sien wanneer ‘n webwerf na jou inligting soek..

Modlishka and the Threat to 2FA – Finale Gedagtes

Luister, internetveiligheid het nog altyd gegaan oor die probeer om kwesbaarhede uit te haal voordat ‘n hacker dit kan doen. Dit is ‘n deurlopende proses, maar dit is glad nie ‘n “verlore stryd” nie. Die beste ding wat ons kan doen, is om seker te maak dat ons konsekwent op datum is met enige nuwe uitvissingsveldtog. As u ‘n ingeligte gebruiker is, help u om die hoeveelheid menslike foute te beperk, wat u ‘n moeilike doelwit vir phishing-swendelary maak.
Wat dink u van hierdie nuwe instrument? Dink u dat die deskundige wat dit gemaak het, dit openlik moes verkry het? Laat weet my in die kommentaar hieronder.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me