Dass die Einrichtung einer Phishing-Seite kein allzu großes Handwerk ist, dürfte keine Überraschung sein. Spannend aber ist es durchaus, wenn man sich kurz und praktisch vor Augen führt, wie leicht es mit den richtigen Tools ist. Dabei ist die Phishing-Seite als solche ohnehin nur der kleinste Anteil des Jobs.
Beispiel: ZPhisher
Gerade für kleine Demonstrationen habe ich ZPhisher immer in meinem Kali-Linux-Container installiert, die Installation geht recht schnell, wobei ich direkt aufs Repository zurückgreife und nicht die Paket-Variante wähle:
apt install git php curl -y
git clone https://github.com/htr-tech/zphisher
cd zphisher
chmod +x zphisher.sh
bash zphisher.sh (ggfs. beim ersten Start mit SU-Rechten zur Installation der Skript-internen Tools!)Nach dem Aufruf zeigt sich eine recht aufgeräumte Übersicht, in welcher der Dienst auszuwählen ist, wobei die populären Dienste inzwischen alle vorhanden sind:
Nach der Auswahl des Dienstes (hier: Instagram) kann man dann noch im Detail unter verschiedenen Optionen wählen, also welche Login-Seite zu diesem Dienst man konkret haben möchte.
ZPhisher erstellt nun nicht schlicht eine Webseite, sondern man hat die Auswahl, wie diese angeboten wird – im einfachsten Fall wird lokal ein Webserver gestartet, der – über einen frei auszuwählenden Port – angesteuert werden kann. Man kann also, etwa für Vorträge, dann eine lokale Domain anlegen, die auf diesen Port weiterleitet und über das lokale WLAN erreichbar ist. Im Vordergrund sieht man dann schlicht die Login-Seite, die sich recht authentisch darstellt:
Spannend ist natürlich, was im Hintergrund passiert: ZPhisher überwacht den Betrieb der Seite und zeigt fortlaufend an, was passiert, etwa wenn die Seite auch nur aufgerufen wird (Anzeige IP-Adresse) und natürlich wenn man etwas eingibt:
Eingegebene Nutzerdaten werden zudem in einer Textdatei gespeichert – nach Eingabe erfolgt dann eine Weiterleitung zur eigentlichen Seite des Dienstes, damit der Nutzer glaubt, er hat sich vertippt und sich normal einloggt.
Zum Phishing bei uns:
Echtes Phishing braucht Social Engineering
ZPhisher ist ein sehr einfaches Tool, mit ein wenig Energie bietet es aber durchaus mächtige Auswirkung – aber der Trick ist weniger der Betrieb eines brauchbaren Phishing-Servers, als vielmehr, die Menschen dazu zu verleiten, Daten überhaupt einzugeben.
Die simpelsten Versuche kennt man: Schlecht geschriebene Mails, die offenkundig in Masse versendet werden und bestenfalls brauchbar in HTML „maskierte“ Links beinhalten, die auf den ersten Blick zu dem Dienst führen, tatsächlich aber eine andere Adresse aufrufen.
Wer erfolgreich sein möchte, muss anders arbeiten, das Stichwort lautet hier Social Engineering. Wenn man wirklich Zeit investiert, sein Opfer und dessen Netzwerk kennt, kann man zielgerichtete Mails verfassen, die sowohl vom Inhalt, aber auch von der Aufmachung her unmittelbar ansprechen und zum Klick verleiten. Insbesondere Pen-Tester, die sich an Mitarbeiter heranwanzen, zeigen hier regelmäßig eine erschreckend hohe Erfolgsquote.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.