Tool hebelt Zwei-Faktor-Authentifizierung aus

Ein zum Jahresanfang veröffentlichtes Tool für Penetrationstests kann Phishing-Angriffe wie nie zuvor automatisieren und erlaubt sogar die Anmeldung bei Konten, die durch Zwei-Faktor-Authentifizierung (2FA) geschützt sind. Entwickelt wurde Modlishka – es steht für die als Gottesanbeterin bekannte Fangschrecke – vom polnischen Sicherheitsforscher Piotr Duszyński.

Modlishka ist ein Reverse-Proxy, der für Traffic zu Anmeldeseiten und Phishing-Angriffe modifiziert wurde. Es wird zwischen dem Nutzer und einer Ziel-Website wie Gmail, Yahoo oder ProtonMail platziert. Opfer werden mit dem Modlishka-Server verbunden, der eine Phishing-Domain hostet, und die Reverse-Proxy-Komponente dahinter schickt Anfragen an die Site, als die sie sich ausgeben will.

Das Phishing-Opfer erhält echte Inhalte der legitimen Site wie etwa Google – aber der gesamte Traffic und alle Interaktionen des Opfers werden durch den Modlishka-Server geleitet und dort aufgezeichnet. Das Modlishka-Backend fängt jegliche eingegebenen Passwörter ab, während der Reverse-Proxy beim Nutzer außerdem 2FA-Token abfragt, sofern Nutzer eine Zwei-Faktor-Authentifizierung eingerichtet haben. Angreifer können die 2FA-Token in Echtzeit einsehen und ihrerseits für die Anmeldung einer neuen und legitimen Sitzung nutzen.

Durch sein einfaches Konzept benötigt Modlishka keine „Templates“, wie Phisher die geklonten Nachbildungen legitimer Sites nennen. Die Angreifer benötigen vielmehr nur einen Phishing-Domainnamen für das Hosting auf dem Modlishka-Server und ein gültiges TLS-Zertifikat, um Nutzer nicht wegen einer fehlenden HTTPS-Verbindung misstrauisch zu machen. Abschließend bliebe noch, den Nutzer über eine simple Config-Datei zur legitimen Site weiterzureichen.

Schon im Dezember berichtete Amnesty International, dass Hacker im Auftrag autoritärer Staaten raffinierte Phishing-Systeme einsetzen, die 2FA umgehen können. Mit Modlishka wäre jetzt zu befürchten, dass auch technisch weniger versierte „Script Kiddies“ in wenigen Minuten solche Phishing-Sites aufsetzen können. Auch könnten Cyberkriminelle ihre Angriffe auf einfache Weise automatisieren.

Das Modlishka-Backend sammelt Anmeldedaten (Bild: Piotr Duszyński).

Modlishka ist auf GitHub unter einer Open-Source-Lizenz verfügbar. Auf die Nachfrage von ZDNet.com, warum er ein so gefährliches Tool veröffentlicht habe, erklärte Duszyński: „Wir müssen uns der Tatsache stellen, dass ohne einen beweiskräftigen Machbarkeitsnachweis das Risiko als theoretisch angesehen wird – und keine ernsthaften Maßnahmen zur Behebung stattfinden.“

In einem Blogeintrag führt der Sicherheitsforscher weitere Einzelheiten zum Tool und seinen Intentionen aus. „Aus einer technischen Perspektive ist das Problem derzeit nur zu beheben, indem man sich ausschließlich auf 2FA-Hardware-Token verlässt, die auf dem U2F-Protokoll basieren“, schreibt er. „Sie sind einfach online zu erwerben. Nicht vergessen werden sollte aber, dass die Nutzersensibilisierung ebenso wichtig ist.“

[mit Material von Catalin Cimpanu, ZDNet.com]

Weiterführende Links

Bernd Kling

Recent Posts

Google erhöht Prämien für Sicherheitslücken deutlich

Die maximale Basisprämie für Schwachstellen in Chrome und Chrome OS steigt von 5000 auf 15.000 Dollar. Hochqualitative Fehlerberichte bringen Forschern…

3 Tagen ago

Cloudgeschäft beschert Microsoft Rekordquartal

Umsatz und Gewinn steigen um 12 beziehungsweise 49 Prozent. Die Cloud-Sparte meldet erstmals höhere Einnahmen als die Windows-Sparte. Der Kurs…

3 Tagen ago

Microsoft registriert fast 10.000 staatliche Hackerangriffe auf seine Nutzer

Die Opfer sind mehrheitlich Firmenkunden. Rund 16 Prozent der Attacken richten sich aber auch gegen Verbraucher. Die Urheber wiederum stammen…

3 Tagen ago

242 Millionen Euro: EU verhängt weitere Kartellstrafe gegen Qualcomm

Es geht erneut um einen Missbrauch einer marktbeherrschenden Stellung. Diesmal soll Qualcomm UTMS-Chipsätze zu Verdrängungspreisen verkauft haben. Das Bußgeld entspricht…

3 Tagen ago

Auch Firefox stuft künftig HTTP-Websites als unsicher ein

Ab Werk aktiv ist die Funktion in Firefox 70. Aktuell ist die Funktion im Nightly Channel erhältlich. Aber auch Firefox…

4 Tagen ago

Smartphones mit 12 GByte RAM: Samsung kündigt neue Low-Power-Speichermodule an

Sie ermöglichen Übertragungsraten von 5500 Mbit/s. 44 GByte Daten übertragen sie somit innerhalb einer Sekunde. Samsung fertigt die Chips mit…

4 Tagen ago