Phishing-tool die tweestapsverificatie in Gmail omzeilt op GitHub geplaatst

Een beveiligingsonderzoeker heeft een tool gepubliceerd die diverse tweestapsverificaties die veel gebruikt worden op platformen als Gmail en Yahoo kan omzeilen. Dat meldt IT Pro. De tool werd door de Poolse onderzoeker Piotr Duszyński op GitHub geplaatst. 

De tool werd samen met een stappenplan geplaatst, waarin verteld wordt hoe het gebruikt kan worden in een phishing-campagne om de inloggegevens en codes van tweestapsverificaties van gebruikers te stelen. In één voorbeeld wordt de tool ingezet tegen de beveiliging van Google. Als de tool deployed is, plaatst deze een server genaamd Modlishka tussen het doelwit en een beveiligd platform als Gmail in, waar slachtoffers onbewust verbinding mee maken als ze hun inloggegevens in willen vullen.

In een hypothetische campagne zou een gebruiker een malafide e-mail tegenkomen met een link naar de proxy-server, die de inlogprocedure van Google nadoet. De gebruiker zou zijn gebruikersnaam en wachtwoord invullen, en vervolgens zijn code voor de tweestapsverificatie. Al die informatie wordt verzameld en op de proxy-server bewaard. Om er zeker van te zijn dat de aanval slaagt, zou een aanvaller het proces real-time moeten volgen en de code voor tweestapsverificatie in moeten vullen voor deze verloopt.

Eenvoudig

Omdat de aanval zo eenvoudig is, zou een crimineel die Modlishka gebruikt voor een phishing-campagne geen website na te hoeven maken, wat nu wel veel gebeurt. Het enige wat nodig is, is een phishing-domein en een legitiem TLS-certificaat. “De vraag is dus: is tweestapsverificatie kapot?”, aldus Duszyński.

“Helemaal niet, maar met de juiste reverse proxy die zich richt op jouw domein via een versleuteld, door de browser vertrouwd communicatiekanaal, kan iemand erg veel moeite hebben om door te hebben dat er iets heel erg mis is. Voeg daar de verschillende fouten in browsers aan toe die URL-spoofing toelaten, en het probleem kan nog veel groter zijn. Neem het gebrek aan awareness van de gebruiker mee, en het betekent letterlijk dat je waardevolle gegevens weggeeft.”

Duszyński heeft de tool al succesvol getest op platformen als Gmail en Yahoo. Hij zegt dat de tool alleen bedoeld is voor penetratietesten en onderwijsdoeleinden. De enige manier om te beschermen tegen deze tool, is door fysieke beveiligingssleutels te gebruiken voor tweestapsverificatie. Daarbij hoeven gebruikers niet met de hand een code in te voeren.