Abo
  • IT-Karriere:

Modlishka: Phishing-Tool umgeht Zwei-Faktor-Authentifizierung

Eine täuschend echte Phishing-Seite, die sogar Zwei-Faktor-Authentifizierung umgehen kann: Mit dem Tool Modlishka lassen sich automatisierte Phishing-Kampagnen betreiben - auch von sogenannten Scriptkiddies.

Artikel veröffentlicht am ,
Phishing lässt sich automatisieren - zum Beispiel mit dem Tool Modlishka.
Phishing lässt sich automatisieren - zum Beispiel mit dem Tool Modlishka. (Bild: tskirde/Pixabay)

Mit dem Tool Modlishka lassen sich in kurzer Zeit Phishing-Seiten erstellen, die Zugangsdaten der Opfer mitschneiden und eine Zwei-Faktor-Authentifizierung umgehen können. Modlishka leitet dem Opfer einfach die echte Zielwebseite über einen anderen Server unter einer anderen Domain weiter und schneidet so die Zugangsdaten mit. Das funktioniert beispielsweise mit Gmail, Yahoo oder Protonmail. Der Sicherheitsforscher Piotr Duszyński hat das Phishing-Tool kürzlich auf Github veröffentlicht.

Stellenmarkt
  1. Arburg GmbH & Co. KG, Loßburg
  2. Chemische Fabrik Budenheim KG, Budenheim

Einmal auf dem Server installiert, benötigt Modlishka nur noch eine Domain, unter der die Phishing-Seite ausgespielt werden soll. Ein gültiges TLS-Zertifikat für die Domain wird empfohlen, um die Nutzer nicht misstrauisch zu machen. Für die Phishing-Seite wird kein Template verwendet, vielmehr wird die echte Seite, beispielsweise Google.com, unter der Phishing-Domain ausgespielt. Modlishka vermittelt als Reverse-Proxy zwischen dem Phishing-Opfer und der Zielwebseite. Der gesamte Traffic und die Nutzereingaben werden über den Modlishka-Server geleitet und mitgeschnitten. Auf diese Weise lassen sich nicht nur die Zugangsdaten des Opfers abfangen, sondern auch die Zwei-Faktor-Authentifzierung umgehen. Angreifer können den Token einfach abfangen und für das Login nutzen: ein vollautomatisierter Man-in-the-Middle-Angriff (MITM). Dieser funktioniert allerdings nicht mit Zwei-Faktor-Authentifizierung mittels U2F-Hardwaretokens.

Ein gefährliches Tool

Duszyński hat Modlishka für Penetrationtests veröffentlicht, doch die Software ermöglicht auch Phishern und Scriptkiddies, mit wenig Aufwand automatisierte Phishing-Kampagnen zu starten. Deren Ergebnisse, also die Zugangsdaten, können sie schön aufbereitet auf der Weboberfläche der Software oder in den Logs einsehen.

Der Sicherheitsforscher ist sich der Gefahr seines Tools durchaus bewusst. ZDnet erklärte er: "Wir müssen uns der Tatsache stellen, dass ohne einen beweiskräftigen Machbarkeitsnachweis das Risiko als theoretisch angesehen wird - und keine ernsthaften Maßnahmen zur Behebung stattfinden."



Anzeige
Hardware-Angebote
  1. 269,90€
  2. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)

mxcd 14. Jan 2019

Könnte man nicht aus der website selbst heraus testen, ob die URL korrekt ist und falls...

Nasenbaer 13. Jan 2019

Du nutzt hier ja keinen Cookie und auch keine Iframes. Der Content wird an dich 1:1 vom...

Arsenal 11. Jan 2019

Ne solche Konzepte gibts schon länger, bin vor Jahren mal auf eine Phishing-Mail auf...


Folgen Sie uns
       


Golem-Akademie - Trainer Stefan stellt sich vor

Rund 20 Jahre Erfahrung als Manager und Mitglied der Geschäftsleitung im internationalen Kontext sowie als Berater sind die Basis seiner Trainings. Der Diplom-Ingenieur Stefan Bayer hat als Mitarbeiter der ersten Stunde bei Amazon.de den Servicegedanken in der kompletten Supply Chain in Deutschland entscheidend mitgeprägt und bis zu 4.500 Menschen geführt. Er ist als Trainer und Coach spezialisiert auf die Begleitung von Führungskräften und Management-Teams sowie auf prozessorientierte Trainings.

Golem-Akademie - Trainer Stefan stellt sich vor Video aufrufen
Star Wars Jedi Fallen Order angespielt: Die Rückkehr der Sternenkriegersolospiele
Star Wars Jedi Fallen Order angespielt
Die Rückkehr der Sternenkriegersolospiele

Seit dem 2003 veröffentlichten Jedi Academy warten Star-Wars-Fans auf ein mächtig gutes neues Actionspiel auf Basis von Star Wars. Demnächst könnte es wieder soweit sein: Beim Anspielen hat Jedi Fallen Order jedenfalls viel Spaß gemacht - trotz oder wegen Anleihen bei Tomb Raider.
Von Peter Steinlechner

  1. Star Wars Jedi Fallen Order und die Macht der Hardware
  2. Star Wars Der Mandalorianer ist bereits zum Start von Disney+ zu sehen
  3. Disney Obi Wan Kenobi kehrt ab 2020 zurück

Star Wars Jedi Fallen Order: Mächtige und nicht so mächtige Besonderheiten
Star Wars Jedi Fallen Order
Mächtige und nicht so mächtige Besonderheiten

Ein Roboter mit Schublade im Kopf, das Lichtschwert als Multifunktionswerkzeug und ein sehr spezielles System zum Wiederbeleben: Golem.de stellt zehn ungewöhnliche Elemente von Star Wars Jedi Fallen Order vor.


    16K-Videos: 400 MByte für einen Screenshot
    16K-Videos
    400 MByte für einen Screenshot

    Die meisten Spiele können nur 4K, mit Downsampling sind bis zu 16K möglich. Wie das geht, haben wir bereits in einem früheren Artikel erklärt. Jetzt folgt die nächste Stufe: Wie erstellt man Videos in solchen Auflösungen? Hier wird gleich ein ganzer Schwung weiterer Tools und Tricks nötig.
    Eine Anleitung von Joachim Otahal

    1. UL 3DMark Feature Test prüft variable Shading-Rate
    2. Nvidia Turing Neuer 3DMark-Benchmark testet DLSS-Kantenglättung

      •  /