Hochschule Merseburg
Social Engineering - Phishing - Workshop: „Ich habe dein Passwort geklaut!“ Cookies stehlen und Benutzereingaben auf Websites abfischen

infopage Social Engineering - Phishing

Das Wort Phishing setzt sich aus Password und fishing zusammen, zu Deutsch: nach Passwörtern angeln. Der Angreifer versucht dabei, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten einer Internetnutzerin oder eines Internetnutzers zu gelangen und diese für seine Zwecke, meist zulasten des Opfers, zu missbrauchen.

[BSI, Die Lage der IT-Sicherheit in Deutschland 2022]


Ihnen wird demonstriert, wie mit dem genannten Social-Engineer Toolkit (SET) eine Webseite mit Login-Formular geklont werden kann. Hierzu wird  eine sog. "Credential Harvester Attack Method" durchgeführt.


Lassen Sie sich die IP-Adresse des Rechenrs geben, auf dem der Angriff gestartet wurde. Rufen Sie diese Adresse in einem beliebigen WWW-Browser auf.

Geben Sie im angezeigten Login-Formular nun frei erfundene Zugangsdaten ein!

Beobachten Sie, wie diese Zugangsdaten durch das SET abgefangen werden.

Machen Sie sich klar, inwieweit die im folgenden demonstrierten Elemente eines Angriffsvektors Bestandteile eines Phishing-Angriffs sind!

Versuchen Sie weitere Websites zu finden, deren Login-Seite auf diese Art mit dem SET erfolgreich für das Abfischen der eingegebenen Nuterzdaten geklont werden kann. Verwenden Sie hierzu selbständig das SET!