{"id":578,"date":"2012-02-15T16:00:58","date_gmt":"2012-02-15T15:00:58","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=578"},"modified":"2026-01-15T15:42:00","modified_gmt":"2026-01-15T14:42:00","slug":"nicht-aufs-gespur-verlassen-neues-php-tool-fuhrt-anwendern-das-personliche-phishing-risiko-vor-augen","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/nicht-aufs-gespur-verlassen-neues-php-tool-fuhrt-anwendern-das-personliche-phishing-risiko-vor-augen\/","title":{"rendered":"Nicht aufs Gesp\u00fcr verlassen: Neues PHP-Tool f\u00fchrt Anwendern das pers\u00f6nliche Phishing-Risiko vor Augen"},"content":{"rendered":"

Die meisten Internet-Nutzer sind sich der Phishing-Gefahren durchaus bewusst. Und dennoch gelingt es Passwortdieben immer wieder, an die sensibelsten Daten der Anwender zu kommen. Dieser Widerspruch liegt vor allem in der Selbst\u00fcbersch\u00e4tzung der Nutzer begr\u00fcndet, wie auch aktuelle Studien aufzeigen. Demnach setzt fast die H\u00e4lfte der Anwender vor allem auf das eigene Gesp\u00fcr und glaubt sich durch ein aufmerksames und vorsichtiges Verhalten eher vor Phishing-Attacken sch\u00fctzen zu k\u00f6nnen als durch technische Ma\u00dfnahmen.<\/p>\n

Dass dies jedoch angesichts der Millionen-Sch\u00e4den, die Phishing nach wie vor j\u00e4hrlich anrichtet, ein Trugschluss ist, k\u00f6nnen Netzwerk-Administratoren ihren Anwendern k\u00fcnftig unmittelbar vor Augen f\u00fchren: Mit einem Anti-Phishing-Tool namens „spt“. Dabei handelt es sich um ein einfaches PHP-Skript, das die Login-Seiten beliebiger Webseiten imitieren kann. Hierzu greift es auf dieselben Funktionen zur\u00fcck wie die Tools, die echte Datendiebe im Rahmen ihrer digitalen Beutez\u00fcge einsetzen.<\/p>\n

Der Administrator kann durch Eingabe einer URL frei w\u00e4hlen, welche Original-Website durch das Tool imitiert werden soll. „spt“ nimmt dann das Layout der gew\u00e4hlten Seite zur Vorlage, um eine \u00e4u\u00dferlich nahezu identische Login-Seite zu genieren und auf den Server hochzuladen. Anhand einer vom Administrator definierten E-Mail-Adressliste fordert das Tool dann die Anwender, deren Leichtgl\u00e4ubigkeit auf die Probe gestellt werden soll, per E-Mail zum Besuch und Login auf der vermeintlich echten Website auf. „Wer darauf hereinf\u00e4llt, wird dann im Rahmen einer Statistik \u2013 nat\u00fcrlich ohne seine auf der Fake-Website eingegebenen Daten \u2013 erfasst und kann dann vom Administrator aufgekl\u00e4rt werden“, erkl\u00e4rt Christian Heutger.<\/p>\n

Wir bef\u00fcrworten derartige, gutartige Phishing-Kampagnen ausdr\u00fccklich, um den Anwendern aufzuzeigen, das Gesp\u00fcr allein vor Phishing nicht immer sch\u00fctzt, und sie f\u00fcr die Gefahren, die meist auf die Schwachstelle Mensch zur\u00fcckzuf\u00fchren sind, zu sensibilisieren.<\/p>\n