Ein zum Jahresanfang veröffentlichtes Tool für Penetrationstests kann Phishing-Angriffe wie nie zuvor automatisieren und erlaubt sogar die Anmeldung bei Konten, die durch Zwei-Faktor-Authentifizierung (2FA) geschützt sind. Entwickelt wurde Modlishka – es steht für die als Gottesanbeterin bekannte Fangschrecke – vom polnischen Sicherheitsforscher Piotr Duszyński.
Modlishka ist ein Reverse-Proxy, der für Traffic zu Anmeldeseiten und Phishing-Angriffe modifiziert wurde. Es wird zwischen dem Nutzer und einer Ziel-Website wie Gmail, Yahoo oder ProtonMail platziert. Opfer werden mit dem Modlishka-Server verbunden, der eine Phishing-Domain hostet, und die Reverse-Proxy-Komponente dahinter schickt Anfragen an die Site, als die sie sich ausgeben will.
Das Phishing-Opfer erhält echte Inhalte der legitimen Site wie etwa Google – aber der gesamte Traffic und alle Interaktionen des Opfers werden durch den Modlishka-Server geleitet und dort aufgezeichnet. Das Modlishka-Backend fängt jegliche eingegebenen Passwörter ab, während der Reverse-Proxy beim Nutzer außerdem 2FA-Token abfragt, sofern Nutzer eine Zwei-Faktor-Authentifizierung eingerichtet haben. Angreifer können die 2FA-Token in Echtzeit einsehen und ihrerseits für die Anmeldung einer neuen und legitimen Sitzung nutzen.
Durch sein einfaches Konzept benötigt Modlishka keine „Templates“, wie Phisher die geklonten Nachbildungen legitimer Sites nennen. Die Angreifer benötigen vielmehr nur einen Phishing-Domainnamen für das Hosting auf dem Modlishka-Server und ein gültiges TLS-Zertifikat, um Nutzer nicht wegen einer fehlenden HTTPS-Verbindung misstrauisch zu machen. Abschließend bliebe noch, den Nutzer über eine simple Config-Datei zur legitimen Site weiterzureichen.
Schon im Dezember berichtete Amnesty International, dass Hacker im Auftrag autoritärer Staaten raffinierte Phishing-Systeme einsetzen, die 2FA umgehen können. Mit Modlishka wäre jetzt zu befürchten, dass auch technisch weniger versierte „Script Kiddies“ in wenigen Minuten solche Phishing-Sites aufsetzen können. Auch könnten Cyberkriminelle ihre Angriffe auf einfache Weise automatisieren.
Modlishka ist auf GitHub unter einer Open-Source-Lizenz verfügbar. Auf die Nachfrage von ZDNet.com, warum er ein so gefährliches Tool veröffentlicht habe, erklärte Duszyński: „Wir müssen uns der Tatsache stellen, dass ohne einen beweiskräftigen Machbarkeitsnachweis das Risiko als theoretisch angesehen wird – und keine ernsthaften Maßnahmen zur Behebung stattfinden.“
In einem Blogeintrag führt der Sicherheitsforscher weitere Einzelheiten zum Tool und seinen Intentionen aus. „Aus einer technischen Perspektive ist das Problem derzeit nur zu beheben, indem man sich ausschließlich auf 2FA-Hardware-Token verlässt, die auf dem U2F-Protokoll basieren“, schreibt er. „Sie sind einfach online zu erwerben. Nicht vergessen werden sollte aber, dass die Nutzersensibilisierung ebenso wichtig ist.“
[mit Material von Catalin Cimpanu, ZDNet.com]
LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…
Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…
