Phishing in 10 Minuten | Ein Experiment

in #deutsch7 years ago

Einleitung

Nach dem Skandal über Cambridge Analytica kamen wieder sehr viele kritische Stimmen zur Datensicherheit auf. (Daten-) Sicherheit im Netz als oberste Priorität. So sollte es sein. Tatsache ist aber das Gegenteil. Die Datenkraken Google und Facebook wissen wahrscheinlich mehr über ihre Nutzer, als diese selbst. Doch was kann man machen? Weniger Daten preisgeben oder einfach ein starkes Passwort nehmen, um sich vor Hackangriffen zu schützen? Tatsächlich wäre das ein Schritt in die richtige Richtung, aber da die meisten Nutzer nach dem Abflauen der Meldungen in den Nachrichten wohl nichts ändern werden möchte ich hier etwas als Experiment aufzeigen.
Das stärkste Passwort nützt überhaupt nichts, wenn es in Klartext in irgendeiner Textdatei auf einem anderen Server landet. Wie schwer das ist? Ziemlich einfach. Um ehrlich zu sein: zu einfach.
Ich habe den Versuch gestartet eine Facebook Phishing Website nachzubauen. Innerhalb von zehn Minuten, hatte ich das Resultat und war selbst erstaunt, wie authentisch alles wirkt, wenn man nicht aufpasst. Hier sind ein paar Tipps, um auf keine Phishing Website hereinzufallen:

1. Die Quelle des Links überprüfen

Kam eine ominöse E-Mail mit einer Einladung zu einer Facebook Gruppe oder einem Facebook Event. Bevor man Links in unbekannten E-Mails anklickt lohnt sich eine Recherche des Inhalts. Ansonsten können so auch Abfallen o. Ä. ausgelöst werden.

2. Die URL überprüfen

Wurde man mit dem Link auf die Anmeldeseite von Facebook weitergeleitet lohnt sich ein Blick in die Adressleiste des Browsers. Oftmals wird die URL dort möglichst nah an die echte angelehnt (Bspw.: www.facebok.com). Sollte hier Unsicherheit herrschen empfiehlt es sich über eine Suchmaschine die offizielle Seite aufzurufen

3. Erneute Anmeldung

Wenn man bereits in Facebook während der Internetsession angemeldet war/ist (vorausgesetzt es fand keine Abmeldung statt) und ein Link einem zu erneutem Anmelden zwingt handelt es sich sehr wahrscheinlich um eine Phishing Website.

Fazit

Die größte Schwachstelle im ganzen System ist die Person, die vor dem Rechner/Smartphone ist. Durch Social Engineering gelingt es immer wieder persönliche Daten und Passwörter auszulesen. Die Naivität der Nutzer ist nicht zu unterschätzen und deswegen lohnt es sich immer zu kontrollieren, ob man wirklich auf der richtigen Anmeldeseite ist. Ansonsten landet so etwas in fremden Händen.

Bildschirmfoto 2018-04-07 um 22.02.29.png

Ich möchte hier noch darauf hinweisen, dass schon der alleinige Betrieb einer Phishing Website in Deutschland strafbar ist! (StGB § 202)

Sort:  

Auch beliebt ist es einen russischen Buchstaben zu verwenden wie hier zu sehen : "www.facеbok.com".
Die Buchstaben könnt ihr ganz leicht aus dem Google Übersetzer kopieren.
Bei einer Script Injektion hilft aber meist auch vorsichtig sein nichts.
Das wird oft in schlecht gesicherten Netzwerken oder Internet Seiten gemacht.(Tutorial Sempervideo Beef MITM)