Abo
  • Services:

Modlishka: Phishing-Tool umgeht Zwei-Faktor-Authentifizierung

Eine täuschend echte Phishing-Seite, die sogar Zwei-Faktor-Authentifizierung umgehen kann: Mit dem Tool Modlishka lassen sich automatisierte Phishing-Kampagnen betreiben - auch von sogenannten Scriptkiddies.

Artikel veröffentlicht am ,
Phishing lässt sich automatisieren - zum Beispiel mit dem Tool Modlishka.
Phishing lässt sich automatisieren - zum Beispiel mit dem Tool Modlishka. (Bild: tskirde/Pixabay)

Mit dem Tool Modlishka lassen sich in kurzer Zeit Phishing-Seiten erstellen, die Zugangsdaten der Opfer mitschneiden und eine Zwei-Faktor-Authentifizierung umgehen können. Modlishka leitet dem Opfer einfach die echte Zielwebseite über einen anderen Server unter einer anderen Domain weiter und schneidet so die Zugangsdaten mit. Das funktioniert beispielsweise mit Gmail, Yahoo oder Protonmail. Der Sicherheitsforscher Piotr Duszyński hat das Phishing-Tool kürzlich auf Github veröffentlicht.

Stellenmarkt
  1. PKF Fasselt Schlage Partnerschaft mbB, Braunschweig
  2. Bosch Gruppe, Leonberg

Einmal auf dem Server installiert, benötigt Modlishka nur noch eine Domain, unter der die Phishing-Seite ausgespielt werden soll. Ein gültiges TLS-Zertifikat für die Domain wird empfohlen, um die Nutzer nicht misstrauisch zu machen. Für die Phishing-Seite wird kein Template verwendet, vielmehr wird die echte Seite, beispielsweise Google.com, unter der Phishing-Domain ausgespielt. Modlishka vermittelt als Reverse-Proxy zwischen dem Phishing-Opfer und der Zielwebseite. Der gesamte Traffic und die Nutzereingaben werden über den Modlishka-Server geleitet und mitgeschnitten. Auf diese Weise lassen sich nicht nur die Zugangsdaten des Opfers abfangen, sondern auch die Zwei-Faktor-Authentifzierung umgehen. Angreifer können den Token einfach abfangen und für das Login nutzen: ein vollautomatisierter Man-in-the-Middle-Angriff (MITM). Dieser funktioniert allerdings nicht mit Zwei-Faktor-Authentifizierung mittels U2F-Hardwaretokens.

Ein gefährliches Tool

Duszyński hat Modlishka für Penetrationtests veröffentlicht, doch die Software ermöglicht auch Phishern und Scriptkiddies, mit wenig Aufwand automatisierte Phishing-Kampagnen zu starten. Deren Ergebnisse, also die Zugangsdaten, können sie schön aufbereitet auf der Weboberfläche der Software oder in den Logs einsehen.

Der Sicherheitsforscher ist sich der Gefahr seines Tools durchaus bewusst. ZDnet erklärte er: "Wir müssen uns der Tatsache stellen, dass ohne einen beweiskräftigen Machbarkeitsnachweis das Risiko als theoretisch angesehen wird - und keine ernsthaften Maßnahmen zur Behebung stattfinden."

Zu den Kommentaren springen
Meistgelesen
  1. Datenschutz
    Hohes Bußgeld aufgrund offenen E-Mail-Verteilers
  2. Uploadfilter
    EU-Kommission bezeichnet Reformkritiker als "Mob"
  3. Datenschutz
    18.000 Android-Apps spionieren Nutzer unzulässig aus
  4. IMHO
    Sechs Jahre, ein Smartphone
  5. Metro Exodus im Technik-Test
    Richtiges Raytracing rockt
Anzeige
Top-Angebote
  1. 31€ (Bestpreis!)
  2. 12,17€ für Prime-Mitglieder (Bestpreis!)
  3. (aktuell u. a. Corsair VS650 als neuwertiger Outlet-Artikel für 34,99€ + Versand)
  4. 5€
Kommentarübersicht
url testen
mxcd 14. Jan 2019 / Themenstart

Könnte man nicht aus der website selbst heraus testen, ob die URL korrekt ist und falls...

Re: Cookie oder wie funktioniert der 2. (nicht...
Nasenbaer 13. Jan 2019 / Themenstart

Du nutzt hier ja keinen Cookie und auch keine Iframes. Der Content wird an dich 1:1 vom...

Re: Und auf die Idee eines Reverse-Proxy ist...
Arsenal 11. Jan 2019 / Themenstart

Ne solche Konzepte gibts schon länger, bin vor Jahren mal auf eine Phishing-Mail auf...

Kommentieren

Folgen Sie uns
       
Nubia X - Hands on (CES 2019)

Das Nubia X hat nicht einen, sondern gleich zwei Bildschirme. Wie der Hersteller die Dual-Screen-Lösung umgesetzt hat, haben wir uns auf der CES 2019 angeschaut.

Nubia X - Hands on (CES 2019) Video aufrufen
IT-Jobs
IT-Jobporträt Spieleprogrammierer: Ich habe mehr Code gelöscht als geschrieben
IT-Jobporträt Spieleprogrammierer
"Ich habe mehr Code gelöscht als geschrieben"

Wenn man im Game durch die weite Steppe reitet, auf Renaissance-Hausdächern kämpft oder stundenlang Rätsel löst, fragt man sich manchmal, wer das alles in Code geschrieben hat. Ein Spieleprogrammierer von Ubisoft sagt: Wer in dem Traumjob arbeiten will, braucht vor allem Geduld.
Von Maja Hoock

  1. Recruiting Wenn die KI passende Mitarbeiter findet
  2. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
  3. IT-Jobs Ein Jahr als Freelancer
Chromebook
Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch

    Exoskelett
    Ottobock: Wie ein Exoskelett die Arbeit erleichtert
    Ottobock
    Wie ein Exoskelett die Arbeit erleichtert

    Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
    Ein Erfahrungsbericht von Werner Pluta

      1. Themen
      2. A
      3. B
      4. C
      5. D
      6. E
      7. F
      8. G
      9. H
      10. I
      11. J
      12. K
      13. L
      14. M
      15. N
      16. O
      17. P
      18. Q
      19. R
      20. S
      21. T
      22. U
      23. V
      24. W
      25. X
      26. Y
      27. Z
      28. #
       
       
        •  /