Terwijl bijna iedereen op 2 januari aan het bijkomen was van oud en nieuw, publiceerde Piotr Dsuzynski een nieuwe tool genaamd Modlishka. Modlishka is een reverse proxy die het mogelijk maakt zonder grote inspanning een zogeheten man-in-the-middle aanval uit te voeren.

De ongewenste proxy!

Modlishka positioneert zich als proxy tussen het slachtoffer en de legitieme website. Al het verkeer dat het slachtoffer tijdens deze sessie genereert wordt doorgezet zoals een normale proxy dit doet. Op het moment dat het slachtoffer zich aanmeldt, worden de gebruikersnaam en wachtwoord afgevangen. Deze worden op een voor de hacker beschikbare pagina van Modlishka weergegeven, inclusief de mogelijkheid om de sessie over te nemen.

Indien het slachtoffer gebruik maakt van multi-factor-authenticatie zal de hacker de sessie enkel tot zijn beschikking hebben zolang deze geldig is. De daadwerkelijke tijdsduur verschilt per website. Indien het slachtoffer géén gebruik gemaakt van multi-factor-authenticatie kan de hacker ook na deze sessie inloggen. Hij heeft immers de gebruikersnaam en wachtwoord.

Het beangstigende van deze tool is dat het geen gebruik maakt van kwetsbaarheden in browsers, websites of authenticatie protocollen. Je kan Modlishka het beste zien als een goed in elkaar gezette zwendel of goocheltruc waarbij een aantal legitieme en veel gebruikte technieken op een andere manier worden ingezet.

Een van de weinige manieren om een met Modliska opgezette phishing campagne te detecteren, is door te kijken naar de website url en de gebruikte certificaten. Dit vereist echter een behoorlijk niveau van security bewustzijn.

Ons Security Team heeft de werking onderzocht, in onderstaande video ziet u hoe Modlishka gebruikt wordt voor Microsoft Office 365. De resultaten worden getoond in onderstaande video. Office 365 was hierin slechts een voorbeeld, Modlishka kan ingezet worden voor nagenoeg elke online dienst.

Modlishka in actie

Wat kunnen organisaties hier tegen doen?

  • Verhoog de kennis van uw medewerkers met betrekking tot phishing, gebruik daarbij eventueel onze video;
  • Stimuleer het gebruik van Multi-factor-authenticatie;
  • Stimuleer het gebruik van een passwordmanager met browser plugin. Deze geven vaak een waarschuwingsmelding als de website niet overeenkomt;
  • Het FIDO2 authenticatie protocol biedt een uitkomst. Maar de adoptiemogelijkheden zijn nog beperkt;

Bron: Blog DTX