Hacking Methoden
Wie Angreifer vorgehen

Ein interaktives Schulprojekt über die häufigsten Angriffsmethoden im Internet – und wie man sich schützt.

🎣

Phishing

Gefälschte Webseiten und E-Mails die Zugangsdaten stehlen. Die häufigste Angriffsmethode weltweit.

⚠ Hohes Risiko
🔓

Brute Force

Automatisches Ausprobieren von tausenden Passwörtern bis das richtige gefunden wird.

⚡ Mittleres Risiko
💉

SQL Injection

Schadcode wird in Datenbankabfragen eingeschleust um Daten zu stehlen oder zu manipulieren.

⚠ Hohes Risiko
📜

Cross-Site Scripting

Schadhafte Scripts werden in Webseiten eingebettet und im Browser anderer Nutzer ausgeführt.

⚡ Mittleres Risiko
🎭

Social Engineering

Menschen werden psychologisch manipuliert um vertrauliche Informationen preiszugeben.

⚠ Hohes Risiko
👤

Man-in-the-Middle

Angreifer schalten sich zwischen zwei Kommunikationspartner und lesen/manipulieren Daten.

⚡ Mittleres Risiko

🎣 Phishing DEMO

Angreifer erstellen täuschend echte Kopien von bekannten Webseiten. Gibt das Opfer seine Daten ein, werden sie direkt an den Angreifer geschickt – nicht an Facebook.

⬇ Gefälschte Facebook-Login Seite

Passwort vergessen?

🖥 Server des Angreifers empfängt live:

// Warte auf Eingabe...
⚠ Dies ist eine Simulation. Die URL würde lauten:
faceb00k-login.ru/signin statt facebook.com

📧 Phishing E-Mail Erkennen

So sieht eine typische Phishing-Mail aus – mit Kommentaren was verdächtig ist.

Von: sicherheit@paypa1.com ← "paypa1" statt "paypal"!

Betreff: ⚠️ Ihr Konto wurde gesperrt – sofort handeln!

An: kunde@gmail.com

Sehr geehrter Kunde,

Wir haben verdächtige Aktivitäten ← Druck erzeugen auf Ihrem Konto festgestellt. Ihr Konto wird in 24 Stunden gesperrt ← Zeitdruck, wenn Sie nicht sofort handeln.

Klicken Sie auf den Link um Ihr Konto zu bestätigen:

www.paypal.com.konto-bestatigen.ru/login ← Echte Domain ist "konto-bestatigen.ru"!

🔓 Brute Force Angriff LIVE DEMO

Ein Programm probiert automatisch Millionen von Passwortkombinationen aus. Schwache Passwörter werden in Sekunden geknackt.

(max. 5 Zeichen, nur a-z/0-9)
Angriffsziel: ***
——
Versuche: 0
Geschwindigkeit: 0/s
Status: Bereit

⏱ Wie lange dauert Knacken?

4 Zeichen (a-z)
456.976 Kombi.
< 1 Sekunde
6 Zeichen (a-z+0-9)
2,2 Mrd. Kombi.
~2 Minuten
8 Zeichen gemischt
218 Bio. Kombi.
~3 Stunden
12 Zeichen gemischt
475 Quad. Kombi.
Millionen Jahre

💉 SQL Injection DEMO

Webseiten fragen Datenbanken mit SQL-Befehlen ab. Wenn Nutzereingaben nicht geprüft werden, kann ein Angreifer eigene SQL-Befehle einschleusen.

Benutzername eingeben:

Generierter SQL-Befehl:

Datenbankresultat:

📜 Cross-Site Scripting (XSS) LIVE DEMO

Wenn eine Webseite Nutzereingaben ungeprüft anzeigt, kann Schadcode eingeschleust werden der im Browser aller Besucher ausgeführt wird.

Eingabe (Kommentarfeld):

Wie andere Nutzer es sehen (unsichere Seite):

Hallo, das ist mein Kommentar!

Sicher (HTML wird escaped):

🎭 Social Engineering

Kein Code – nur Psychologie. Angreifer manipulieren Menschen direkt: per Telefon, E-Mail oder persönlich. 95% aller Cyberangriffe beginnen mit Social Engineering.

📞 Szenario 1: Gefälschter IT-Support Anruf

Angreifer
"Guten Tag, hier ist Klaus Müller vom IT-Support der Firma XY. Wir haben ungewöhnliche Aktivitäten in Ihrem Account festgestellt. Können Sie mir kurz Ihr Passwort bestätigen damit wir das überprüfen können?"
Opfer
"Oh nein, natürlich – mein Passwort ist Hund1234!"
⚠ Kein seriöser IT-Support fragt jemals nach Ihrem Passwort!

💼 Szenario 2: CEO Fraud (Fake Chef)

Von: ceo@firma-xy.de (gefälscht)
An: buchhaltung@firma-xy.de

"Ich bin gerade in einer wichtigen Besprechung. Bitte überweise SOFORT 15.000€ an IBAN DE89... Das ist vertraulich, bitte niemanden informieren. Ich erkläre alles später."
🎯 Psychologische Hebel: Autorität (Chef), Zeitdruck (sofort), Geheimhaltung

🧠 Psychologische Tricks der Angreifer

Zeitdruck

"Sofort handeln!" – kein Zeit zum Nachdenken

Autorität

Vorgeben Chef, Polizei oder Bank zu sein

Angst

"Ihr Konto wird gesperrt!" – Panik erzeugen

Vertrauen

Infos aus Social Media nutzen um glaubwürdig zu wirken

👤 Man-in-the-Middle Angriff

Der Angreifer schaltet sich unbemerkt zwischen Opfer und Server. Er liest alle Daten mit und kann sie verändern – z.B. in öffentlichen WLAN-Netzen.

Normale Verbindung:
💻Du
————→
Passwort: geheim123
HTTPS verschlüsselt ✓
————→
🏦Bank
Mit Man-in-the-Middle Angriff:
💻Du
Denkt er spricht mit Bank
😈Angreifer
liest alles mit!
✗ Passwort: geheim123
✗ Kreditkarte: 4532...
✗ TAN: 847291
Leitet weiter an Bank
🏦Bank

😈 Angriffsorte

  • 📶 Öffentliches WLAN (Café, Bahnhof)
  • 🔌 ARP-Spoofing im Heimnetz
  • 🌐 Gefälschte WLAN-Hotspots

🛡 Schutzmaßnahmen

  • ✓ Nur HTTPS Seiten verwenden (🔒)
  • ✓ VPN im öffentlichen WLAN
  • ✓ Kein Online-Banking in fremden Netzen

🛡 Schutzmaßnahmen

So schützt du dich gegen alle vorgestellten Angriffsmethoden.

🎣 Gegen Phishing

  • URL immer genau prüfen
  • Kein Klick auf E-Mail Links
  • 2-Faktor-Authentifizierung
  • Passwort-Manager nutzen

🔓 Gegen Brute Force

  • Lange Passwörter (12+ Zeichen)
  • Sonderzeichen & Zahlen
  • Einzigartiges PW pro Seite
  • Login-Versuche limitieren

💉 Gegen SQL Injection

  • Prepared Statements
  • Input-Validierung
  • Minimale DB-Rechte
  • Web Application Firewall

📜 Gegen XSS

  • HTML-Encoding der Ausgabe
  • Content Security Policy
  • Input-Sanitization
  • HttpOnly Cookies

🎭 Gegen Social Engineering

  • Niemals Passwort am Telefon
  • Rückruf beim echten Support
  • Mitarbeiter schulen
  • Vier-Augen-Prinzip

👤 Gegen MITM

  • VPN im öffentlichen WLAN
  • Nur HTTPS Seiten
  • Zertifikate prüfen
  • Fremde WLANs meiden
🔐

Die wichtigste Regel

Security ist kein Produkt sondern ein Prozess. Der schwächste Punkt in jedem System ist der Mensch – deshalb ist Aufklärung so wichtig.