Abo
  • IT-Karriere:

Modlishka: Phishing-Tool umgeht Zwei-Faktor-Authentifizierung

Eine täuschend echte Phishing-Seite, die sogar Zwei-Faktor-Authentifizierung umgehen kann: Mit dem Tool Modlishka lassen sich automatisierte Phishing-Kampagnen betreiben - auch von sogenannten Scriptkiddies.

Artikel veröffentlicht am ,
Phishing lässt sich automatisieren - zum Beispiel mit dem Tool Modlishka.
Phishing lässt sich automatisieren - zum Beispiel mit dem Tool Modlishka. (Bild: tskirde/Pixabay)

Mit dem Tool Modlishka lassen sich in kurzer Zeit Phishing-Seiten erstellen, die Zugangsdaten der Opfer mitschneiden und eine Zwei-Faktor-Authentifizierung umgehen können. Modlishka leitet dem Opfer einfach die echte Zielwebseite über einen anderen Server unter einer anderen Domain weiter und schneidet so die Zugangsdaten mit. Das funktioniert beispielsweise mit Gmail, Yahoo oder Protonmail. Der Sicherheitsforscher Piotr Duszyński hat das Phishing-Tool kürzlich auf Github veröffentlicht.

Stellenmarkt
  1. Mey GmbH & Co. KG, Albstadt-Lautlingen
  2. Conergos, München

Einmal auf dem Server installiert, benötigt Modlishka nur noch eine Domain, unter der die Phishing-Seite ausgespielt werden soll. Ein gültiges TLS-Zertifikat für die Domain wird empfohlen, um die Nutzer nicht misstrauisch zu machen. Für die Phishing-Seite wird kein Template verwendet, vielmehr wird die echte Seite, beispielsweise Google.com, unter der Phishing-Domain ausgespielt. Modlishka vermittelt als Reverse-Proxy zwischen dem Phishing-Opfer und der Zielwebseite. Der gesamte Traffic und die Nutzereingaben werden über den Modlishka-Server geleitet und mitgeschnitten. Auf diese Weise lassen sich nicht nur die Zugangsdaten des Opfers abfangen, sondern auch die Zwei-Faktor-Authentifzierung umgehen. Angreifer können den Token einfach abfangen und für das Login nutzen: ein vollautomatisierter Man-in-the-Middle-Angriff (MITM). Dieser funktioniert allerdings nicht mit Zwei-Faktor-Authentifizierung mittels U2F-Hardwaretokens.

Ein gefährliches Tool

Duszyński hat Modlishka für Penetrationtests veröffentlicht, doch die Software ermöglicht auch Phishern und Scriptkiddies, mit wenig Aufwand automatisierte Phishing-Kampagnen zu starten. Deren Ergebnisse, also die Zugangsdaten, können sie schön aufbereitet auf der Weboberfläche der Software oder in den Logs einsehen.

Der Sicherheitsforscher ist sich der Gefahr seines Tools durchaus bewusst. ZDnet erklärte er: "Wir müssen uns der Tatsache stellen, dass ohne einen beweiskräftigen Machbarkeitsnachweis das Risiko als theoretisch angesehen wird - und keine ernsthaften Maßnahmen zur Behebung stattfinden."

Zu den Kommentaren springen
Meistgelesen
  1. Energiespeicher
    Heiße Steine sind effizienter als Brennstoffzellen
  2. E-Mail
    Amazon verrät versehentlich deutschen Marketplace-Umsatz
  3. Datenschutz
    Browser-Fingerprinting gestern und heute
  4. Steam Play
    Tschüss Windows, hallo Linux - ein Gamer zieht um
  5. 20 Jahre Counter-Strike
    Von der Mod zum Multiplayer-Hit
Anzeige
Spiele-Angebote
  1. (-77%) 13,99€
  2. 0,49€
  3. 4,60€
  4. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)
Kommentarübersicht
url testen
mxcd 14. Jan 2019

Könnte man nicht aus der website selbst heraus testen, ob die URL korrekt ist und falls...

Re: Cookie oder wie funktioniert der 2. (nicht...
Nasenbaer 13. Jan 2019

Du nutzt hier ja keinen Cookie und auch keine Iframes. Der Content wird an dich 1:1 vom...

Re: Und auf die Idee eines Reverse-Proxy ist...
Arsenal 11. Jan 2019

Ne solche Konzepte gibts schon länger, bin vor Jahren mal auf eine Phishing-Mail auf...

Folgen Sie uns
       
Dell XPS 13 (7390) - Hands on

Das XPS 13 Convertible (7390) ist Dells neues 360-Grad-Gerät: Es nutzt Ice-Lake-Chips für doppelte Geschwindigkeit, hat ein höher auflösendes Display, eine nach oben versetzte Kamera und eine magnetisch arbeitende Tastatur.

Dell XPS 13 (7390) - Hands on Video aufrufen
Western Digital
WD Blue SN500 ausprobiert: Die flotte günstige Blaue
WD Blue SN500 ausprobiert
Die flotte günstige Blaue

Mit der WD Blue SN500 bietet Western Digital eine spannende NVMe-SSD an: Das M.2-Kärtchen basiert auf einem selbst entwickelten Controller und eigenem Flash-Speicher. Das Resultat ist ein schnelles, vor allem aber günstiges Modell als bessere Alternative zu Sata-SSDs.
Von Marc Sauter

  1. WD Black SN750 ausprobiert Direkt hinter Samsungs SSDs
  2. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  3. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte
Mobile Games
Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS
Wolfenstein
Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner

    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /