Tool hebelt Zwei-Faktor-Authentifizierung aus

Das Tool eines polnischen Sicherheitsforschers ist für Penetrationstests gedacht. Es könnte aber Phishing-Angriffe in hohem Maße automatisieren. Dagegen immun sind Hardware-Token, die auf dem Protokoll U2F basieren.

Ein zum Jahresanfang veröffentlichtes Tool für Penetrationstests kann Phishing-Angriffe wie nie zuvor automatisieren und erlaubt sogar die Anmeldung bei Konten, die durch Zwei-Faktor-Authentifizierung (2FA) geschützt sind. Entwickelt wurde Modlishka – es steht für die als Gottesanbeterin bekannte Fangschrecke – vom polnischen Sicherheitsforscher Piotr Duszyński.

(Bild: Piotr Duszyński)

Modlishka ist ein Reverse-Proxy, der für Traffic zu Anmeldeseiten und Phishing-Angriffe modifiziert wurde. Es wird zwischen dem Nutzer und einer Ziel-Website wie Gmail, Yahoo oder ProtonMail platziert. Opfer werden mit dem Modlishka-Server verbunden, der eine Phishing-Domain hostet, und die Reverse-Proxy-Komponente dahinter schickt Anfragen an die Site, als die sie sich ausgeben will.

Das Phishing-Opfer erhält echte Inhalte der legitimen Site wie etwa Google – aber der gesamte Traffic und alle Interaktionen des Opfers werden durch den Modlishka-Server geleitet und dort aufgezeichnet. Das Modlishka-Backend fängt jegliche eingegebenen Passwörter ab, während der Reverse-Proxy beim Nutzer außerdem 2FA-Token abfragt, sofern Nutzer eine Zwei-Faktor-Authentifizierung eingerichtet haben. Angreifer können die 2FA-Token in Echtzeit einsehen und ihrerseits für die Anmeldung einer neuen und legitimen Sitzung nutzen.

(Bild: ZDNet.com)

Durch sein einfaches Konzept benötigt Modlishka keine „Templates“, wie Phisher die geklonten Nachbildungen legitimer Sites nennen. Die Angreifer benötigen vielmehr nur einen Phishing-Domainnamen für das Hosting auf dem Modlishka-Server und ein gültiges TLS-Zertifikat, um Nutzer nicht wegen einer fehlenden HTTPS-Verbindung misstrauisch zu machen. Abschließend bliebe noch, den Nutzer über eine simple Config-Datei zur legitimen Site weiterzureichen.

Schon im Dezember berichtete Amnesty International, dass Hacker im Auftrag autoritärer Staaten raffinierte Phishing-Systeme einsetzen, die 2FA umgehen können. Mit Modlishka wäre jetzt zu befürchten, dass auch technisch weniger versierte „Script Kiddies“ in wenigen Minuten solche Phishing-Sites aufsetzen können. Auch könnten Cyberkriminelle ihre Angriffe auf einfache Weise automatisieren.

Das Modlishka-Backend sammelt Anmeldedaten (Bild: Piotr Duszyński).Das Modlishka-Backend sammelt Anmeldedaten (Bild: Piotr Duszyński).

Modlishka ist auf GitHub unter einer Open-Source-Lizenz verfügbar. Auf die Nachfrage von ZDNet.com, warum er ein so gefährliches Tool veröffentlicht habe, erklärte Duszyński: „Wir müssen uns der Tatsache stellen, dass ohne einen beweiskräftigen Machbarkeitsnachweis das Risiko als theoretisch angesehen wird – und keine ernsthaften Maßnahmen zur Behebung stattfinden.“

In einem Blogeintrag führt der Sicherheitsforscher weitere Einzelheiten zum Tool und seinen Intentionen aus. „Aus einer technischen Perspektive ist das Problem derzeit nur zu beheben, indem man sich ausschließlich auf 2FA-Hardware-Token verlässt, die auf dem U2F-Protokoll basieren“, schreibt er. „Sie sind einfach online zu erwerben. Nicht vergessen werden sollte aber, dass die Nutzersensibilisierung ebenso wichtig ist.“

[mit Material von Catalin Cimpanu, ZDNet.com]

Weiterführende Links

Themenseiten: Cofense Anti-Phishing-Lösungen, Phishing, Sicherheit, Zwei-Faktor-Authentifizierung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Artikel empfehlen: