Ein zum Jahresanfang veröffentlichtes Tool für Penetrationstests kann Phishing-Angriffe wie nie zuvor automatisieren und erlaubt sogar die Anmeldung bei Konten, die durch Zwei-Faktor-Authentifizierung (2FA) geschützt sind. Entwickelt wurde Modlishka – es steht für die als Gottesanbeterin bekannte Fangschrecke – vom polnischen Sicherheitsforscher Piotr Duszyński.
Modlishka ist ein Reverse-Proxy, der für Traffic zu Anmeldeseiten und Phishing-Angriffe modifiziert wurde. Es wird zwischen dem Nutzer und einer Ziel-Website wie Gmail, Yahoo oder ProtonMail platziert. Opfer werden mit dem Modlishka-Server verbunden, der eine Phishing-Domain hostet, und die Reverse-Proxy-Komponente dahinter schickt Anfragen an die Site, als die sie sich ausgeben will.
Das Phishing-Opfer erhält echte Inhalte der legitimen Site wie etwa Google – aber der gesamte Traffic und alle Interaktionen des Opfers werden durch den Modlishka-Server geleitet und dort aufgezeichnet. Das Modlishka-Backend fängt jegliche eingegebenen Passwörter ab, während der Reverse-Proxy beim Nutzer außerdem 2FA-Token abfragt, sofern Nutzer eine Zwei-Faktor-Authentifizierung eingerichtet haben. Angreifer können die 2FA-Token in Echtzeit einsehen und ihrerseits für die Anmeldung einer neuen und legitimen Sitzung nutzen.
Durch sein einfaches Konzept benötigt Modlishka keine „Templates“, wie Phisher die geklonten Nachbildungen legitimer Sites nennen. Die Angreifer benötigen vielmehr nur einen Phishing-Domainnamen für das Hosting auf dem Modlishka-Server und ein gültiges TLS-Zertifikat, um Nutzer nicht wegen einer fehlenden HTTPS-Verbindung misstrauisch zu machen. Abschließend bliebe noch, den Nutzer über eine simple Config-Datei zur legitimen Site weiterzureichen.
Schon im Dezember berichtete Amnesty International, dass Hacker im Auftrag autoritärer Staaten raffinierte Phishing-Systeme einsetzen, die 2FA umgehen können. Mit Modlishka wäre jetzt zu befürchten, dass auch technisch weniger versierte „Script Kiddies“ in wenigen Minuten solche Phishing-Sites aufsetzen können. Auch könnten Cyberkriminelle ihre Angriffe auf einfache Weise automatisieren.
Modlishka ist auf GitHub unter einer Open-Source-Lizenz verfügbar. Auf die Nachfrage von ZDNet.com, warum er ein so gefährliches Tool veröffentlicht habe, erklärte Duszyński: „Wir müssen uns der Tatsache stellen, dass ohne einen beweiskräftigen Machbarkeitsnachweis das Risiko als theoretisch angesehen wird – und keine ernsthaften Maßnahmen zur Behebung stattfinden.“
In einem Blogeintrag führt der Sicherheitsforscher weitere Einzelheiten zum Tool und seinen Intentionen aus. „Aus einer technischen Perspektive ist das Problem derzeit nur zu beheben, indem man sich ausschließlich auf 2FA-Hardware-Token verlässt, die auf dem U2F-Protokoll basieren“, schreibt er. „Sie sind einfach online zu erwerben. Nicht vergessen werden sollte aber, dass die Nutzersensibilisierung ebenso wichtig ist.“
[mit Material von Catalin Cimpanu, ZDNet.com]
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…