Tool hebelt Zwei-Faktor-Authentifizierung aus

Ein zum Jahresanfang veröffentlichtes Tool für Penetrationstests kann Phishing-Angriffe wie nie zuvor automatisieren und erlaubt sogar die Anmeldung bei Konten, die durch Zwei-Faktor-Authentifizierung (2FA) geschützt sind. Entwickelt wurde Modlishka – es steht für die als Gottesanbeterin bekannte Fangschrecke – vom polnischen Sicherheitsforscher Piotr Duszyński.

Modlishka ist ein Reverse-Proxy, der für Traffic zu Anmeldeseiten und Phishing-Angriffe modifiziert wurde. Es wird zwischen dem Nutzer und einer Ziel-Website wie Gmail, Yahoo oder ProtonMail platziert. Opfer werden mit dem Modlishka-Server verbunden, der eine Phishing-Domain hostet, und die Reverse-Proxy-Komponente dahinter schickt Anfragen an die Site, als die sie sich ausgeben will.

Das Phishing-Opfer erhält echte Inhalte der legitimen Site wie etwa Google – aber der gesamte Traffic und alle Interaktionen des Opfers werden durch den Modlishka-Server geleitet und dort aufgezeichnet. Das Modlishka-Backend fängt jegliche eingegebenen Passwörter ab, während der Reverse-Proxy beim Nutzer außerdem 2FA-Token abfragt, sofern Nutzer eine Zwei-Faktor-Authentifizierung eingerichtet haben. Angreifer können die 2FA-Token in Echtzeit einsehen und ihrerseits für die Anmeldung einer neuen und legitimen Sitzung nutzen.

Durch sein einfaches Konzept benötigt Modlishka keine „Templates“, wie Phisher die geklonten Nachbildungen legitimer Sites nennen. Die Angreifer benötigen vielmehr nur einen Phishing-Domainnamen für das Hosting auf dem Modlishka-Server und ein gültiges TLS-Zertifikat, um Nutzer nicht wegen einer fehlenden HTTPS-Verbindung misstrauisch zu machen. Abschließend bliebe noch, den Nutzer über eine simple Config-Datei zur legitimen Site weiterzureichen.

Schon im Dezember berichtete Amnesty International, dass Hacker im Auftrag autoritärer Staaten raffinierte Phishing-Systeme einsetzen, die 2FA umgehen können. Mit Modlishka wäre jetzt zu befürchten, dass auch technisch weniger versierte „Script Kiddies“ in wenigen Minuten solche Phishing-Sites aufsetzen können. Auch könnten Cyberkriminelle ihre Angriffe auf einfache Weise automatisieren.

Das Modlishka-Backend sammelt Anmeldedaten (Bild: Piotr Duszyński).

Modlishka ist auf GitHub unter einer Open-Source-Lizenz verfügbar. Auf die Nachfrage von ZDNet.com, warum er ein so gefährliches Tool veröffentlicht habe, erklärte Duszyński: „Wir müssen uns der Tatsache stellen, dass ohne einen beweiskräftigen Machbarkeitsnachweis das Risiko als theoretisch angesehen wird – und keine ernsthaften Maßnahmen zur Behebung stattfinden.“

In einem Blogeintrag führt der Sicherheitsforscher weitere Einzelheiten zum Tool und seinen Intentionen aus. „Aus einer technischen Perspektive ist das Problem derzeit nur zu beheben, indem man sich ausschließlich auf 2FA-Hardware-Token verlässt, die auf dem U2F-Protokoll basieren“, schreibt er. „Sie sind einfach online zu erwerben. Nicht vergessen werden sollte aber, dass die Nutzersensibilisierung ebenso wichtig ist.“

[mit Material von Catalin Cimpanu, ZDNet.com]

Weiterführende Links

Bernd Kling

Recent Posts

Samsung Internet 11 bringt Update der Chrome-Engine auf Version 75

Derzeit liegt der Browser noch als Beta-Version vor. Die Version 11.0.00.73 enthält auch den Videoassistenten zurück, der erweiterte Steuerungsfunktionen für…

10 Stunden ago

Apple gibt iOS 13.2.3 und iPadOS 13.2.3 zum Download frei

Die Updates beheben erneut ein Problem mit Hintergrund-Apps. Außerdem korrigieren die Entwickler Fehler in der iOS-Suche und der Mail-App. Es…

16 Stunden ago

Roborock-Alternative: Saugroboter 360 S7 für 344 Euro

Gearbest bietet den 360 S7 aktuelle für 343,87 Euro aus einem europäischen Warenlager an. Die Lieferzeit liegt daher nur bei…

17 Stunden ago

Android-Bug: Schädliche Apps umgehen Gerätesperre und kontrollieren Kamera

Die Schwachstelle hebelt die Android-Berechtigungen für Kamera und Mikrofon aus. Eine schädliche App kann auch Telefonate aufzeichnen und GPS-Daten aus…

20 Stunden ago

Huawei: US-Regierung verlängert Ausnahmeregelung um 90 Tage

Die US-Regierung hat zum dritten Mal die Ausnahmeregelung für Huawei um 90 Tage verlängert. Der Grund dafür liegt in der…

1 Tag ago

Windows: Microsoft plant Integration von DNS over HTTPS

Kommende Insider-Versionen von Windows 10 sollen laut Microsoft Support für die Verschlüsselung von DNS-Abfragen bieten. Windows ist damit das erste…

1 Tag ago