https://github.com/drk1wi/Modlishka

go get -u github.com/drk1wi/Modlishka

cd $GOPATH/src/github.com/drk1wi/Modlishka/

make

https://github.com/drk1wi/Modlishka/wiki/How-to-use

Выживут только мальчики)) #modlishka #sketch #sketchbook #drawing #insects #blue #boys #justoftwoofus #bluesman #набросок #богомол #голубой https://www.instagram.com/p/Bx-rEG3itG5/?igshid=1kom1o7eo1noj

“Imma throw shade if I can’t get paid”: multi-factor authentication is all too easy

Recently, at my organisation, the business has implemented a form of multi-factor authentication (MFA) as a means of providing additional security for the company’s physical and digital property. Due to the sensitive data inflow, organisations must work to keep their networks secure, and resources protected (Cisco, n.d.). This is accomplished through authentication a form of access control. Authentication is defined as “the process of determining whether someone or something is, in fact, who or what it declares itself to be” (Rosencrance, n.d.).

At the most basic level, authentication could be an individual providing a password. This will be matched against the system along with a corresponding user ID. Alternatively, MFA is a security system that requires more than one method of authentication (Network Direction, 2020). Two or more independent credentials are provided which may fall into the categories of; what the user knows (a password), what the user has (a security fob) and what the user is (biometric verification such as a fingerprint scan) (Cisco, n.d.). The purpose of this is to provide a layered defence, therefore increasing the difficulty of accessing a system, database, or network. If one layer is compromised, the attacker must penetrate the remaining layers before being successful (Mohamed, 2014). For example, at the ATM a user must have a bank card and their pin.Similarly, my organisation has implemented MFA for all employees upon accessing work laptops. Employees must undergo a two-step authentication before successfully logging on. This is necessary as work laptops hold protected information vital to the running of a company. 

Additional security factors alongside what the user knows & what the user has but often overlooked include where the user is, so allowing access based on an IP location or what the user does. This is behavioural and is unique to a user such as a signature (Network Direction, 2020).

Record scratch, now why is all of that kinda bogus...

One cybersecurity issue that affects the above example is the false security provided by this process. Although defence is layered in MFA, one of the most common factors include passwords that can easily be infiltrated. Passwords are inherently weak as research shows “61% of people reuse the same or similar password everywhere and 92% of organisations have credentials for sale on the Dark Web” (Blanton, 2021). For credentials that are not readily available online, hackers can make an attempt through the method of brute-force (Cisco, n.d.). Additionally, users often neglect to implement diverse and unique passwords (Foltýn, 2018). Ideally, to mitigate the risk, users should use a security tool to generate passwords. Passwords are often uncomplicated because users believe they will not be able to recall them, but a password manager is useful in creating and remembering strong passwords.

Additionally, with the popularity of phishing, attackers are now easily bypassing MFA. A user could be redirected to a phishing site where they input their credentials, upon receiving the MFA verification code. Once the code is entered, the attacker can take those details and input them on the legitimate website (Watkins, 2019). This is aided by modlishka, a popular phishing tool (TIP, 2019). However, this can be mitigated through the use of spam filters and web filters. These can help prevent individuals from accidentally accessing phishing sites (TIP, 2019).

Lastly, factors can easily be lost or damaged. For example, many use phones or security cards. These can be easily misplaced and end up in the wrong hands. This can be mitigated through security and awareness training for employees which may include directives advising colleagues not to openly display security cards outside of work. Furthermore, when items are lost or stolen the security team should be contacted to disable these items.

In conclusion, even with good password hygiene, companies are still at risk from internet breaches which will ultimately render passwords useless. Conversely, even when phishing sites are intercepted, MFA codes tend to be a simple 4 or 6-digit number making them ‘crackable’. Watkins (2019) perfectly captures the issue at hand stating that “adding more layers of authentication simply means that, as an industry, we have failed to build a path to building a better digital identity”. Cybersecurity analysts must uncover the pattern of hackers leading up to accessing systems. If we can identify attackers and their patterns, we can make authentication redundant (Watkins, 2019). DataVisor (n.d.) looks to the future of Zero-Factor Authentication, declaring “the solution is to stop [attackers] before they ever get to the authentication stage.”

Modlishka concept art character

By @amitkumarartist

#modlishka #amitkumarartist #gamecharacter #characterdesign #conceptart #digitalillustration #gameart #love #artist #artistsoninstagram #art #digitalart #digitalartwork #painting #hairs #girl #figuredrawing #figurepainting #anatomy

https://www.instagram.com/p/CASWgKMjHPK/?igshid=1nbtttqrwsrgx

New tool automates phishing attacks that bypass 2FA

Source: https://www.zdnet.com/article/new-tool-automates-phishing-attacks-that-bypass-2fa/

More info: https://blog.duszynski.eu/phishing-ng-bypassing-2fa-with-modlishka/

GitHub: https://github.com/drk1wi/Modlishka

​Modlishka Powerful and flexible HTTP reverse proxy. It implements an entirely new and...

​Modlishka Powerful and flexible HTTP reverse proxy. It implements an entirely new and interesting approach of handling browser-based HTTP traffic flow, which allows to transparently proxy multi-domain destination traffic, both TLS and non-TLS, over a single domain, without a requirement of installing any additional certificate on the client. What does this exactly mean? In short, it simply has a lot of potential, that can be used in many use case scenarios... From the security perspective, Modlishka can be currently used to: ▫️ Support ethical phishing penetration tests with a transparent and automated reverse proxy component that has a universal 2FA “bypass” support. ▫️ Automatically poison HTTP 301 browsers cache and permanently hijack non-TLS URLS. ▫️ Diagnose and hijack browser-based applications HTTP traffic from the "Client Domain Hooking" attack perspective. ▫️ Wrap legacy websites with TLS layer, confuse crawler bots and automated scanners, etc. https://github.com/drk1wi/Modlishka Phishing 101 with Modlishka https://sbasu7241.medium.com/phishing-101-with-modlishka-f3255e31b68b Phishing with Modlishka (bypass 2FA) https://vimeo.com/308709275?embedded=true&source=video_title&owner=93002281 #soft #infosec #cybersecurity #pentesting #modlishka #2fa

-

O.N.A - Modlishka

Modlishka: Proxy Inverso con Autenticación 2FA | #2FA #Phishing #Proxy #Seguridad

Modlishka: Phishing with Reverse HTTP Proxy | #phishing #proxy #hacking

Cute dress Mamy dla Was miłą wiadomość! Przeceniliśmy większość produktów do -20%! ❤️ ____________ #modlishka... https://ift.tt/2ZsxU41

Modlishka - An Open Source Phishing Tool With 2FA Authentication

Modlishka – An Open Source Phishing Tool With 2FA Authentication

Original text by Lydecher black

Modlishka – An Open Source Phishing Tool With 2FA Authentication

 9:23 AM | POST SPONSORED BY FARADAYSEC | MULTIUSER PENTEST ENVIRONMENT LYDECKER BLACK Facebook

Modlishka is a flexible and powerful reverse proxy, that will take your phishing campaigns to the next level (with minimal effort required from your side). Enjoy 🙂

Features Some of the most…

View On WordPress

14 de Enero, 2019

Internacional

Divulgan herramienta para programar campañas de phishing capaz de evadir el 2FA

Un investigador en seguridad polaco, llamado Piotr Duszyński, desarrolló una nueva herramienta para pruebas de penetración que llamó Modlishka y que según sus propias palabras “permite llevar las campañas de phishing a un nivel superior y con mínimo esfuerzo”.  La herramienta puede ser utilizada para suplantar incluso sitios web populares como Yahoo o Gmail. Según explica Duszyński en su cuenta de GitHub, Modlishka fue creada únicamente con propósitos educativos y solo puede ser utilizada en pruebas de penetración legítimas. Algunas de las principales funcionalidades que ofrece esta herramienta de proxy inverso, son: soporte para la mayoría de los esquemas de doble factor de autenticación, control absoluto del flujo de tráfico TLS de origen que pasa por el navegador de la víctima, entre otras.

E.@. Recientemente un investigador ha desarrollado una herramienta para pruebas de penetración. Esta herramienta puede ser utilizada para suplantar incluso sitios web populares como Yahoo o Gmail. Cabe destacar que esta herramienta fue creada únicamente con propósitos educativos y solo puede ser utilizada en pruebas de penetración legítimas. Según el investigador, esta herramienta se ubica entre el usuario y el sitio web elegido. Al recibir la dirección para ingresar a su cuenta, la víctima en realidad está pasando en una etapa intermedia por el servidor de Modlishka y el componente de proxy inverso hace una solicitud al sitio cuya identidad se está suplantando. De esta forma, la víctima obtiene contenido auténtico de un sitio legítimo, pero todo el tráfico y las interacciones realizadas por la víctima pasan por otro servidor, donde queda un registro del nombre de usuario y contraseña ingresada que luego el operador de la herramienta puede observar en un panel de control. Si el usuario tiene configurado el doble factor de autenticación, la herramienta solicita al sitio legítimo que envíe la clave correspondiente al doble factor de autenticación, siempre que esté basado en SMS. Hay que tener en consideración que el investigador polaco aseguró que la herramienta fue creada con fines educativos y para realizar pruebas de penetración legítimas, también manifestó que no se hará responsable de ningún tipo de acción realizada por parte de los usuarios.

Fuente

NUEVA HERRAMIENTA PERMITE ESQUIVAR AUTENTICACIÓN DE DOS FACTORES

Este método de autenticación tal vez no sea tan seguro

Piotr Duszynski, investigador experto en seguridad en redes originario de Polonia, anunció recientemente el lanzamiento de una herramienta llamada “Modlishka” (mantis en polaco), la cual, según el experto, es una herramienta para pruebas de penetración que permite a los usuarios automatizar campañas de phishing, por ejemplo. Incluso se menciona que esta herramienta podría comprometer cuentas de diferentes servicios que tengan activada la autenticación de dos factores (2FA).  

Modlishka opera entre el usuario y el proveedor de correo electrónico de la elección del usuario, como Gmail, Outlook o Yahoo, menciona Duszynski. Posteriormente, la víctima se conecta al servidor de Modlishka, que genera solicitudes a los sitios web que desea suplantar para que la víctima no encuentre diferencias entre el sitio legítimo y la copia. El experto en seguridad en redes mencionó que Modlishka toma el contenido directamente del sitio suplantado, por lo que un usuario malicioso no tendría que dedicar tiempo a crear nuevas plantillas.

Cuando la copia del sitio es creada, las víctimas interactúan con contenido auténtico del sitio web, sin embargo, cualquier interacción será registrada en el servidor de Modlishka.  

Una vez que el sitio haya sido suplantado, la víctima interactuará con contenido auténtico del sitio web legítimo. La víctima puede comprar en línea, sin embargo, todas las interacciones, entradas de formularios, que la víctima complete se registrarán en el servidor Modlishka, esto podría derivar en alguna variante de fraude de identidad y otras actividades maliciosas.

Cualquier usuario (sin importar sus intenciones) que desee utilizar esta herramienta, simplemente debe configurar el dominio en el que desee alojar su campaña de phishing, así como un certificado TLS válido. Asimismo, debe permitir que el sitio web suplantado que la víctima visite opere con una conexión HTTPS ‘segura’; de lo contrario, el usuario será alertado sobre la ausencia de una conexión HTTPS, reduciendo las posibilidades de que el ataque tenga éxito.

Finalmente, se requerirá que los usuarios ejecuten un archivo de configuración en el dominio de phishing que redirige a la víctima al sitio web legítimo al final de la operación de phishing. Modlishka está actualmente disponible en GitHub bajo una licencia de código abierto.

Acorde al experto en seguridad en redes, usar esta herramienta es tan fácil como “apuntar y hacer clic”, además, tratándose de un software de código abierto, es posible que múltiples usuarios malintencionados comiencen a probar esta herramienta en diversas campañas de phishing.

Modlishka αυτοματοποιημένο εργαλείο phishing υποκλέπτει και 2FA

New tool automates phishing attacks that bypass 2FA | ZDNet Trust in two-factor authentication has slowly eroded in the last month after release of Amnesty International report and Modlishka tool. Source: New tool automates phishing attacks that bypass 2FA | ZDNet