Modlishka: Phishing-Tool umgeht Zwei-Faktor-Authentifizierung

Eine täuschend echte Phishing-Seite, die sogar Zwei-Faktor-Authentifizierung umgehen kann: Mit dem Tool Modlishka lassen sich automatisierte Phishing-Kampagnen betreiben - auch von sogenannten Scriptkiddies.

Artikel veröffentlicht am ,
Phishing lässt sich automatisieren - zum Beispiel mit dem Tool Modlishka.
Phishing lässt sich automatisieren - zum Beispiel mit dem Tool Modlishka. (Bild: tskirde/Pixabay)

Mit dem Tool Modlishka lassen sich in kurzer Zeit Phishing-Seiten erstellen, die Zugangsdaten der Opfer mitschneiden und eine Zwei-Faktor-Authentifizierung umgehen können. Modlishka leitet dem Opfer einfach die echte Zielwebseite über einen anderen Server unter einer anderen Domain weiter und schneidet so die Zugangsdaten mit. Das funktioniert beispielsweise mit Gmail, Yahoo oder Protonmail. Der Sicherheitsforscher Piotr Duszyński hat das Phishing-Tool kürzlich auf Github veröffentlicht.

Einmal auf dem Server installiert, benötigt Modlishka nur noch eine Domain, unter der die Phishing-Seite ausgespielt werden soll. Ein gültiges TLS-Zertifikat für die Domain wird empfohlen, um die Nutzer nicht misstrauisch zu machen. Für die Phishing-Seite wird kein Template verwendet, vielmehr wird die echte Seite, beispielsweise Google.com, unter der Phishing-Domain ausgespielt.

Modlishka vermittelt als Reverse-Proxy zwischen dem Phishing-Opfer und der Zielwebseite. Der gesamte Traffic und die Nutzereingaben werden über den Modlishka-Server geleitet und mitgeschnitten. Auf diese Weise lassen sich nicht nur die Zugangsdaten des Opfers abfangen, sondern auch die Zwei-Faktor-Authentifzierung umgehen. Angreifer können den Token einfach abfangen und für das Login nutzen: ein vollautomatisierter Man-in-the-Middle-Angriff (MITM). Dieser funktioniert allerdings nicht mit Zwei-Faktor-Authentifizierung mittels U2F-Hardwaretokens.

Ein gefährliches Tool

Duszyński hat Modlishka für Penetrationtests veröffentlicht, doch die Software ermöglicht auch Phishern und Scriptkiddies, mit wenig Aufwand automatisierte Phishing-Kampagnen zu starten. Deren Ergebnisse, also die Zugangsdaten, können sie schön aufbereitet auf der Weboberfläche der Software oder in den Logs einsehen.

Der Sicherheitsforscher ist sich der Gefahr seines Tools durchaus bewusst. ZDnet erklärte er: "Wir müssen uns der Tatsache stellen, dass ohne einen beweiskräftigen Machbarkeitsnachweis das Risiko als theoretisch angesehen wird - und keine ernsthaften Maßnahmen zur Behebung stattfinden."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Phishing
Bank muss Kunden Hackerschaden nicht voll ersetzen
artikel-bild
Google Authenticator
2FA-Codes lassen sich einfach abgreifen
artikel-bild
Azure, Github, Ghostwire Tokyo
Intel jagt Bugs und Blender zeigt Zeit
Meistgelesen
artikel-bild
27, 32 und 34 Zoll
Warum OLED-Monitore (noch) nichts fürs Büro sind
artikel-bild
Börsenkurs fällt
Googles Chatbot Bard patzt in der ersten Präsentation
artikel-bild
Start in Europa
Netflix-Zusatzgebühr für Konten-Sharing kostet 5,99 Euro
Kommentarübersicht
url testen
mxcd 14. Jan 2019

Könnte man nicht aus der website selbst heraus testen, ob die URL korrekt ist und falls...

Re: Cookie oder wie funktioniert der 2. (nicht...
Nasenbaer 13. Jan 2019

Du nutzt hier ja keinen Cookie und auch keine Iframes. Der Content wird an dich 1:1 vom...

Re: Und auf die Idee eines Reverse-Proxy ist...
Arsenal 11. Jan 2019

Ne solche Konzepte gibts schon länger, bin vor Jahren mal auf eine Phishing-Mail auf...

Aktuell auf der Startseite von Golem.de
Joule statt Watt
Ein faires Verfahren zur Leistungsmessung

Die Effizienz von Prozessoren und Grafikkarten steigt mit fast jeder Generation. Wir zeigen, warum die Angaben zur Leistungsaufnahme häufig irreführend sind.
Von Martin Böckmann

Joule statt Watt: Ein faires Verfahren zur Leistungsmessung
Artikel
  1. Solarüberdachter Parkplatz: Behörde stoppt Schwarzbau bei Tesla-Fabrik
    Solarüberdachter Parkplatz
    Behörde stoppt Schwarzbau bei Tesla-Fabrik

    Tesla hat offenbar ohne Genehmigung mehr als 100 Betonpfähle in Grünheide in den Boden gerammt.

  2. Streaming, Cloud & Co.: Wie nachhaltig ist unser digitales Leben?
    Streaming, Cloud & Co.
    Wie nachhaltig ist unser digitales Leben?

    Streaming und Cloudnutzung vergrößern unseren CO2-Fußabdruck, mehr Datencenter brauchen mehr Energie. Was digitale Enthaltsamkeit hier bringen kann.
    Von Tobias Költzsch

  3. Deutsche Glasfaser: Zahlreiche Kunden beklagen Stillstand seit Monaten
    Deutsche Glasfaser
    Zahlreiche Kunden beklagen Stillstand seit Monaten

    Die Baugrube müsse man selbst schließen, Techniker erschienen nicht zum Termin. In einer Kleinstadt mit rund 16.000 Einwohner gibt es Klagen über Deutsche Glasfaser.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Finale der PCGH Cyber Week • MindStar: XFX RX 6950 XT 799€ • Neue Tiefstpreise DDR4/DDR5 • Lenovo 27" WQHD 165 Hz 299,99€ • Philips OLED TV 55" 120 Hz Ambilight -39% • Samsung SSD 2TB Heatsink (PS5-komp.) 189,99€ • Gaming-Monitore bis 44% günstiger • Roccat Vulcan 121 Aimo 139,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /