Kategorien
Cybercrime Blog Digital Life IT-Sicherheit

Phishing leicht gemacht mit ZPhisher

Dass die Einrichtung einer -Seite kein allzu großes Handwerk ist, dürfte keine Überraschung sein. Spannend aber ist es durchaus, wenn man sich kurz und praktisch vor Augen führt, wie leicht es mit den richtigen Tools ist. Dabei ist die Phishing-Seite als solche ohnehin nur der kleinste Anteil des Jobs.

Beispiel: ZPhisher

Gerade für kleine Demonstrationen habe ich ZPhisher immer in meinem Kali-Linux-Container installiert, die Installation geht recht schnell, wobei ich direkt aufs Repository zurückgreife und nicht die Paket-Variante wähle:

apt install git php curl -y
git clone https://github.com/htr-tech/zphisher
cd zphisher
chmod +x zphisher.sh
bash zphisher.sh (ggfs. beim ersten Start mit SU-Rechten zur Installation der Skript-internen Tools!)

Nach dem Aufruf zeigt sich eine recht aufgeräumte Übersicht, in welcher der Dienst auszuwählen ist, wobei die populären Dienste inzwischen alle vorhanden sind:

ZPhisher Startbildschirm
Auswahl-Screen von ZPhisher
Phishing leicht gemacht mit ZPhisher - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen

Nach der Auswahl des Dienstes (hier: Instagram) kann man dann noch im Detail unter verschiedenen Optionen wählen, also welche Login-Seite zu diesem Dienst man konkret haben möchte.

ZPhisher erstellt nun nicht schlicht eine Webseite, sondern man hat die Auswahl, wie diese angeboten wird – im einfachsten Fall wird lokal ein Webserver gestartet, der – über einen frei auszuwählenden Port – angesteuert werden kann. Man kann also, etwa für Vorträge, dann eine lokale Domain anlegen, die auf diesen Port weiterleitet und über das lokale WLAN erreichbar ist. Im Vordergrund sieht man dann schlicht die Login-Seite, die sich recht authentisch darstellt:

Phishing leicht gemacht mit ZPhisher - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen
Von ZPhisher kreierte Instagram-Login-Seite

Spannend ist natürlich, was im Hintergrund passiert: ZPhisher überwacht den Betrieb der Seite und zeigt fortlaufend an, was passiert, etwa wenn die Seite auch nur aufgerufen wird (Anzeige ) und natürlich wenn man etwas eingibt:

Phishing leicht gemacht mit ZPhisher - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen
Hintergrundüberwachung durch ZPhisher

Eingegebene Nutzerdaten werden zudem in einer Textdatei gespeichert – nach Eingabe erfolgt dann eine Weiterleitung zur eigentlichen Seite des Dienstes, damit der Nutzer glaubt, er hat sich vertippt und sich normal einloggt.

Echtes Phishing braucht Social Engineering

ZPhisher ist ein sehr einfaches Tool, mit ein wenig Energie bietet es aber durchaus mächtige Auswirkung – aber der Trick ist weniger der Betrieb eines brauchbaren Phishing-Servers, als vielmehr, die Menschen dazu zu verleiten, Daten überhaupt einzugeben.

Die simpelsten Versuche kennt man: Schlecht geschriebene Mails, die offenkundig in Masse versendet werden und bestenfalls brauchbar in HTML „maskierte“ Links beinhalten, die auf den ersten Blick zu dem Dienst führen, tatsächlich aber eine andere Adresse aufrufen.

Wer erfolgreich sein möchte, muss anders arbeiten, das Stichwort lautet hier Social Engineering. Wenn man wirklich Zeit investiert, sein Opfer und dessen Netzwerk kennt, kann man zielgerichtete Mails verfassen, die sowohl vom Inhalt, aber auch von der Aufmachung her unmittelbar ansprechen und zum Klick verleiten. Insbesondere Pen-Tester, die sich an Mitarbeiter heranwanzen, zeigen hier regelmäßig eine erschreckend hohe Erfolgsquote.

Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Unsere Kanzlei ist spezialisiert auf Strafverteidigung, Wirtschaftsstrafrecht und IT-Recht. Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht und Fachanwalt für IT-Recht. RA JF ist Kommentator in einem StPO-Kommentar sowie Autor in zwei Fachzeitschriften im IT-Recht + Strafrecht, zudem Softwareentwickler. Seine Spezialität ist die Schnittmenge aus Strafrecht und IT, speziell bei Fragen digitaler Beweismittel & IT-Forensik.

Ihr Profi bei Strafverteidigung und im Wirtschaftsstrafrecht sowie für Unternehmen im IT-Recht inklusive Softwarerecht, Datenschutzrecht, IT-Compliance, IT-Sicherheit und IT-Vertragsrecht mit Arbeitsrecht.