• IT-Karriere:
  • Services:

Modlishka: Phishing-Tool umgeht Zwei-Faktor-Authentifizierung

Eine täuschend echte Phishing-Seite, die sogar Zwei-Faktor-Authentifizierung umgehen kann: Mit dem Tool Modlishka lassen sich automatisierte Phishing-Kampagnen betreiben - auch von sogenannten Scriptkiddies.

Artikel veröffentlicht am ,
Phishing lässt sich automatisieren - zum Beispiel mit dem Tool Modlishka.
Phishing lässt sich automatisieren - zum Beispiel mit dem Tool Modlishka. (Bild: tskirde/Pixabay)

Mit dem Tool Modlishka lassen sich in kurzer Zeit Phishing-Seiten erstellen, die Zugangsdaten der Opfer mitschneiden und eine Zwei-Faktor-Authentifizierung umgehen können. Modlishka leitet dem Opfer einfach die echte Zielwebseite über einen anderen Server unter einer anderen Domain weiter und schneidet so die Zugangsdaten mit. Das funktioniert beispielsweise mit Gmail, Yahoo oder Protonmail. Der Sicherheitsforscher Piotr Duszyński hat das Phishing-Tool kürzlich auf Github veröffentlicht.

Stellenmarkt
  1. Deutsches Elektronen-Synchrotron DESY, Hamburg
  2. Statistisches Landesamt Rheinland-Pfalz, Bad Ems

Einmal auf dem Server installiert, benötigt Modlishka nur noch eine Domain, unter der die Phishing-Seite ausgespielt werden soll. Ein gültiges TLS-Zertifikat für die Domain wird empfohlen, um die Nutzer nicht misstrauisch zu machen. Für die Phishing-Seite wird kein Template verwendet, vielmehr wird die echte Seite, beispielsweise Google.com, unter der Phishing-Domain ausgespielt. Modlishka vermittelt als Reverse-Proxy zwischen dem Phishing-Opfer und der Zielwebseite. Der gesamte Traffic und die Nutzereingaben werden über den Modlishka-Server geleitet und mitgeschnitten. Auf diese Weise lassen sich nicht nur die Zugangsdaten des Opfers abfangen, sondern auch die Zwei-Faktor-Authentifzierung umgehen. Angreifer können den Token einfach abfangen und für das Login nutzen: ein vollautomatisierter Man-in-the-Middle-Angriff (MITM). Dieser funktioniert allerdings nicht mit Zwei-Faktor-Authentifizierung mittels U2F-Hardwaretokens.

Ein gefährliches Tool

Duszyński hat Modlishka für Penetrationtests veröffentlicht, doch die Software ermöglicht auch Phishern und Scriptkiddies, mit wenig Aufwand automatisierte Phishing-Kampagnen zu starten. Deren Ergebnisse, also die Zugangsdaten, können sie schön aufbereitet auf der Weboberfläche der Software oder in den Logs einsehen.

Der Sicherheitsforscher ist sich der Gefahr seines Tools durchaus bewusst. ZDnet erklärte er: "Wir müssen uns der Tatsache stellen, dass ohne einen beweiskräftigen Machbarkeitsnachweis das Risiko als theoretisch angesehen wird - und keine ernsthaften Maßnahmen zur Behebung stattfinden."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Zhaoxin KX-U6780A im Test
    Das kann Chinas x86-Prozessor
  2. SpaceX
    Vierter Starship-Prototyp explodiert in massivem Feuerball
  3. HBO Max gestartet
    Sonderbare Konkurrenz für Netflix, Disney+ und Prime Video
  4. Gogoro
    Leichte Elektro-Bikes mit Akku im Motor
  5. Thinkpad DIY
    Wie ich meinen alten Laptop fit für die Zukunft mache
Anzeige
Top-Angebote
  1. 182,99€ (Vergleichspreis 204€)
  2. 99,90€ (Bestpreis)
  4. (u. a. Disco Elysium für 29,99€, Metro Exodus: Gold Edition für 29,19€, Prey Digital Deluxe...
Kommentarübersicht
url testen
mxcd 14. Jan 2019

Könnte man nicht aus der website selbst heraus testen, ob die URL korrekt ist und falls...

Re: Cookie oder wie funktioniert der 2. (nicht...
Nasenbaer 13. Jan 2019

Du nutzt hier ja keinen Cookie und auch keine Iframes. Der Content wird an dich 1:1 vom...

Re: Und auf die Idee eines Reverse-Proxy ist...
Arsenal 11. Jan 2019

Ne solche Konzepte gibts schon länger, bin vor Jahren mal auf eine Phishing-Mail auf...

Folgen Sie uns
       
Macbook Air (2020) - Test

Endlich streicht Apple die fehlerhafte Butterfly auch beim Macbook Air. Im Test sind allerdings einige andere Mängel noch vorhanden.

Macbook Air (2020) - Test Video aufrufen
Corona-App
Corona: Der Staat muss uns vor der Tracing-App schützen
Corona
Der Staat muss uns vor der Tracing-App schützen

Politiker wie Axel Voss fordern "Anreize" für die Nutzung der Corona-App. Doch das schafft nicht das notwendige Vertrauen in die staatliche Technik.
Ein Gastbeitrag von Stefan Brink und Clarissa Henning

  1. Schnittstelle installiert Android-Handys sind bereit für die Corona-Apps
  2. Corona-App Google und Apple stellen Bluetooth-API bereit
  3. Coronapandemie Quarantäne-App soll Gesundheitsämter entlasten
Smartphone
Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display
Minecraft
Minecraft Dungeons im Test: Diablo im Quadrat
Minecraft Dungeons im Test
Diablo im Quadrat

Minecraft Dungeons sieht aus wie ein Re-Skin von Diablo, ist viel einfacher aufgebaut - und fesselt uns trotzdem an den Bildschirm.
Ein Test von Peter Steinlechner

  1. Mojang Studios Mehr als 200 Millionen Einheiten von Minecraft verkauft
  2. Minecraft RTX im Test Klötzchen klotzen mit Pathtracing
  3. Raytracing Beta von Minecraft RTX startet am 16. April
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /