Deze phishingtool hackt elke account, zelfs met tweestapsverificatie

Er circuleert al een jaar een phishingtool online waarmee je eenvoudig gegevens van bijvoorbeeld LinkedIn, Facebook of Google kan hacken. Zelfs mét tweestapsverificatie heeft deze hack geen enkel probleem. De kans dat jij er iets van merkt dat het gebeurt, is bovendien klein.

De hack draagt al een jaar lang de naam evilginx en maakt het mogelijk om zonder bizar webadres in een mail toch je gegevens via phishing te verkrijgen, zelfs al staat tweestapsverificatie ingeschakeld. Je merkt er bovendien niets van tijdens de loginfase, wat de hack nog straffer maakt. De complete technische analyse kan je terugvinden op deze website, zodat iedereen (hackers, security onderzoekers) ermee aan de slag kan. De code staat ook op GitHub.

Evilginx

Evilginx is in feite een man-in-the-middle-aanval die proxy_pass en sub_filter misbruikt om HTTP-trafiek aan te passen en vast te leggen. Het vereist een Nginx HTTP-server en wat kennis van Debian Linux, specifieke kennis die niet zomaar iedereen machtig is.

Dat is bijzonder slecht nieuws, omdat tweestapsverificatie zowat de heilige graal is op vlak van veiligheid. Zo combineer je iets wat je weet (wachtwoord) het best met iets dat je bent (iris, vingerafdruk) of hebt (smartphone) voor extra veiligheid.

De hack is al een jaar oud, maar door een recent geplaatste video op YouTube leeft het opnieuw. De demo toont hoe je door middel van één klik eenvoudig op LinkedIn inlogt via het officiële portaal met je login en wachtwoord. Daarna krijgt de gebruiker een sms-bericht met zijn code als onderdeel van de tweestapsverificatie. Van zodra hij die invult en inlogt, krijgt de hacker het emailadres binnen en het wachtwoord van de gebruiker.

Schokeffect

Met beide kan hij nog niet inloggen door middel van de tweestapsverificatie, maar de tool genereert tegelijk ook een ‘token cookie’ die twee jaar geldig is. Met die cookie kan hij voortaan probleemloos inloggen zonder ook maar een login of wachtwoord in te geven of de specifieke smartphonecode. Die token maakt in feite tweestapsverificatie overbodig, ook al adviseren we wel altijd om bij elke online dienst die optie te kiezen.

Bij phishing is het belangrijk dat je alle werknemers binnen het bedrijf goed adviseert en sensibiliseert. Waarom gebruik je niet bovenstaande tool om iemand te ‘hacken’, om daarna aan iedereen te tonen wat er allemaal is gelukt. Het is meestal door een live voorbeeld te zien, dat het schokeffect het grootst is.

Vergeet zeker niet om onze 5 tips te lezen om je beter online te beschermen.