Opgelet: Phishing Proxy Modlishka vergroot phishing risico

Op dit moment gaan er phishing mails (nep mails) rond die niet van het echt te onderscheiden zijn. Dit komt door de komst van Modlishka, een phishing proxy. Dit gaat zelfs zo ver als je de link in de mail aanklikt je op de echte site komt, b.v. bol.com, digid.nl, etc. Maar wat maakt deze phishing tactiek dan anders dan de anderen?

Phishing Proxy
Modlishka plaatst zich als proxy tussen het slachtoffer en de beoogde legimitie website. Al het verkeer dat de gebruiker tijdens deze sessie genereert, wordt doorgezet zoals een normale proxy dit doet. Op het moment dat het slachtoffer zich aanmeldt, worden de gebruikersnaam en wachtwoord afgevangen. Deze worden op een voor de hacker beschikbare pagina van Modlishka weergegeven, inclusief de mogelijkheid om de sessie over te nemen.

Zie afbeelding

Weinig mogelijkheden om te herkennen of voorkomen 
Een van de weinige manieren om een met Modliska opgezette phishing campagne te detecteren, is door te kijken naar de website url en de gebruikte certificaten. Dit vereist echter een behoorlijk niveau van security bewustzijn. Twijfelt u? Vraag Bruinsma ICT om u van advies te voorzien! Wij kunnen eenvoudig even met u meekijken. 

Indien de gebruiker gebruik maakt van multi-factor-authenticatie zal de hacker de sessie enkel tot zijn beschikking hebben zolang deze geldig is. De daadwerkelijke tijdsduur verschilt per website. Indien het slachtoffer géén gebruik gemaakt van multi-factor-authenticatie kan de hacker ook na deze sessie inloggen. Hij heeft immers de gebruikersnaam en wachtwoord.
 
Het beangstigende van deze tool is dat het geen gebruik maakt van kwetsbaarheden in browsers, websites of authenticatie protocollen. Je kan Modlishka het beste zien als een goed in elkaar gezette goocheltruc waarbij een aantal legitieme en veel gebruikte technieken op een andere manier worden ingezet.

Concrete tips om impact te beperken

  • Stuur deze pagina door naar uw medewerkers en creëer bewustzijn.
  • Als u twijfelt aan een e-mail, ga dan via de internetbrowser dírect naar de link van de betreffende site, dus klik dan niet op de link in de e-mail. Hiermee omzeilt u de 'hacker'. 
  • Maak zoveel mogelijk gebruik van Twee-Factor-Authenticatie binnen uw organisatie en attendeer werknemers ook op de mogelijkheden in uw privéwebsites (Facebook, Linkedin, Google)
  • Wees altijd alert op URL's en certificaten van websites. Zeker wanneer u bijvoorbeeld geen mail van een partij verwacht
  • Draai altijd uw browser updates
  • Gebruik een password manager met browser plugin. Deze herkennen vaak of het de legitieme webpagina is
  • Het FIDO2 authenticatie protocol biedt een uitkomst. Maar de adoptiemogelijkheden zijn nog beperkt bij systemen en websites
Bekijk ook deze video, waarin het vrij begrijpelijk wordt uitgelegd
 
 
Twijfelt u of security advies nodig? 
Neem gerust contact op met het Bruinsma ICT support team. Zij kijken graag met u mee en voorzien u van security advies binnen uw ICT-omgeving. Ons ICT team is bereikbaar op 0523-272121 of help@bruinsmakantoor.nl.