Un investigador en seguridad polaco, llamado Piotr Duszyński, desarrolló una nueva herramienta para pruebas de penetración que llamó Modlishka y que según sus propias palabras “permite llevar las campañas de phishing a un nivel superior y con mínimo esfuerzo”. La herramienta puede ser utilizada para suplantar incluso sitios web populares como Yahoo o Gmail.
Según explica Duszyński en su cuenta de GitHub, Modlishka fue creada únicamente con propósitos educativos y solo puede ser utilizada en pruebas de penetración legítimas.
Algunas de las principales funcionalidades que ofrece esta herramienta de proxy inverso, son: soporte para la mayoría de los esquemas de doble factor de autenticación; la solo necesidad de indicar a Modlishka cuál es el dominio apuntado para que automáticamente sea manipulado sin necesidad de templates de sitios web; control absoluto del flujo de tráfico TLS de origen que pasa por el navegador de la víctima; posibilidad de configurar de manera sencilla posibles escenarios de phishing a través de las opciones de configuración; remoción de los sitios web todo cifrado y headers de seguridad; recolección de credenciales de usuarios, entre otras funcionalidades más.
¿Cómo funciona? Modlishka se ubica entre el usuario y el sitio web elegido. Al recibir la dirección para ingresar a su cuenta, la víctima en realidad está pasando en una etapa intermedia por el servidor de Modlishka y el componente de proxy inverso hace una solicitud al sitio cuya identidad se está suplantando. De esta manera, la víctima obtiene contenido auténtico de un sitio legítimo, pero todo el tráfico y las interacciones realizadas por la víctima pasan por el servidor Modlishka, donde queda un registro del nombre de usuario y contraseña ingresado que luego el operador de la herramienta puede observar en un panel de control.
Asimismo, si el usuario tiene configurado el doble factor de autenticación, la herramienta solicita al sitio legítimo que envíe la clave correspondiente al doble factor de autenticación, siempre que esté basado en SMS.
Como mencionamos en la descripción de las funcionalidades, la herramienta no utiliza templates, ya que todo el contenido es extraído del sitio legítimo en tiempo real, con lo cual, no es necesario que los atacantes inviertan tiempo en el diseño de templates que resulten creíbles para los usuarios.
En el siguiente video se puede ver cómo opera la herramienta aprovechando la interfaz original de Google y cómo evade (y obtiene) las credenciales de acceso, inclusive utilizando doble factor de autenticación.
El atacante solo necesita un nombre de dominio para el phishing que alojará en el servidor de Modlishka y un certificado TLS válido para que el usuario no sea alertado por la falta de una conexión HTTPS.
Y como muchos otros, nos preguntamos si el lanzamiento de esta herramienta en GitHub no supone un riesgo o una razón para preocuparse, ya que muchos jóvenes con ganas de hacerse conocidos entre sus pares (o incluso grupos cibercriminales) pueden perfectamente aprovechar Modlishka para montar un sitio de phishing sin necesidad de tener demasiados conocimientos técnicos. Duszyński fue consultado por el portal ZDNet acerca de por qué decidió lanzar una herramienta como esta que puede resultar peligrosa. Y la respuesta del desarrollador fue que “es necesario asumir que sin una prueba de concepto que demuestre las posibilidades de lo que se puede hacer, el riesgo es tratado como algo teórico y esto hace que no se tomen medidas reales para resolver el problema de manera adecuada”.
SI bien el investigador polaco aseguró que la herramienta fue creada con fines educativos y para realizar pruebas de penetración legítimas, también manifestó que no se hará responsable de ningún tipo de acción realizada por parte de los usuarios.
Para el Jefe del Laboratorio de ESET Latinoamérica, Camilo Gutiérrez, "conocer la existencia de este tipo de herramientas, más allá de generar alarma debe servir para entender y comprender como funcionan las amenazas. Si bien esta herramienta es un paso adelante en la sofisticación de las campañas de phishing, el entender la manera en la que opera lleva a la protección del usuario, que en este caso puntual con la revisión minuciosa de la URL del sitio web puede comprobar que no corresponde al sitio original y por lo tanto no caer en el engaño".
Por otra parte, Duszyński dijo al medio que, si bien la herramienta puede automatizar los procesos de un sitio de phishing para que logre pasar por controles de doble factor de autenticación basados en SMS y códigos de una sola vez, Modlishka no trabaja bien cuando el doble factor de autenticación que se basan en claves de seguridad en hardware.