Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
gf_informatik:phishing [2025-02-02 09:25] – [Aufgabe B – Plant eure eigene Attacke] hofgf_informatik:phishing [2026-02-02 11:00] (aktuell) – [Aufgaben A – Mindmap] hof
Zeile 16: Zeile 16:
 ==== Aufgaben A – Mindmap ==== ==== Aufgaben A – Mindmap ====
   * Erstelle eine [[https://www.google.com/search?tbm=isch&q=mindmap|Mindmap]] auf Papier oder auf deinem Computer mit einem geeigneten Programm. Das Hauptthema des Mindmaps ist "Social Engineering". Von Hier aus gehen Äste zu den Unterthemen, die im folgenden Text erläutert werden.   * Erstelle eine [[https://www.google.com/search?tbm=isch&q=mindmap|Mindmap]] auf Papier oder auf deinem Computer mit einem geeigneten Programm. Das Hauptthema des Mindmaps ist "Social Engineering". Von Hier aus gehen Äste zu den Unterthemen, die im folgenden Text erläutert werden.
 +    * Ziele
 +    * Methoden (Email, Anrufe...)
 +    * Psychologische Tricks
   * Erstelle für jedes Unterthema einen Ast, der vom Hauptthema weggeht. Bei jedem Ast notierst du Folgendes:   * Erstelle für jedes Unterthema einen Ast, der vom Hauptthema weggeht. Bei jedem Ast notierst du Folgendes:
     * Ein bis zwei wichtige Informationen aus dem gelesenen Text; stichwortartig oder ausformuliert.     * Ein bis zwei wichtige Informationen aus dem gelesenen Text; stichwortartig oder ausformuliert.
     * Antworten zu den jeweils gestellten Aufgaben.     * Antworten zu den jeweils gestellten Aufgaben.
 +  * Mögliche Werkzeuge:
 +    * OneNote
 +    * [[https://markmap.js.org/|MarkMap]]
 +    * ...
 ==== Phishing via Mail ==== ==== Phishing via Mail ====
 Beim Phishing via E-Mail wird der "Köder" via E-Mail versendet. Meistens wird die E-Mail an sehr viele Empfänger:innen verschickt, in der Hoffnung, dass ein kleiner Teil "anbeisst". Es ist quasi ein Fischen mit grossem (aber durchlässigem) Netz. Ziel ist dann, vertrauliche Daten wie Passwörter oder Informationen zum Bankkonto von möglichst vielen Personen zu sammeln. Die gesammelten Daten können dann beispielsweise an Andere verkauft oder für spätere, gezieltere Attacken (siehe unten) genutzt werden. Beim Phishing via E-Mail wird der "Köder" via E-Mail versendet. Meistens wird die E-Mail an sehr viele Empfänger:innen verschickt, in der Hoffnung, dass ein kleiner Teil "anbeisst". Es ist quasi ein Fischen mit grossem (aber durchlässigem) Netz. Ziel ist dann, vertrauliche Daten wie Passwörter oder Informationen zum Bankkonto von möglichst vielen Personen zu sammeln. Die gesammelten Daten können dann beispielsweise an Andere verkauft oder für spätere, gezieltere Attacken (siehe unten) genutzt werden.
Zeile 80: Zeile 87:
 === Phishing mit QR-Codes === === Phishing mit QR-Codes ===
 Eine weitere Möglichkeit des Phishing wäre beispielsweise das Verteilen von Plakaten, Flugblättern oder Aufklebern, die einen **QR-Code** enthalten und Neugierde wecken. Vielleicht gibt es tolle Preise zu gewinnen. Die Links hinter den QR-Codes führen dann beispielsweise auf die Seite des Wettbewerbs, für den man sich erst anmelden und einige persönliche Informationen bekannt geben muss. Eine weitere Möglichkeit des Phishing wäre beispielsweise das Verteilen von Plakaten, Flugblättern oder Aufklebern, die einen **QR-Code** enthalten und Neugierde wecken. Vielleicht gibt es tolle Preise zu gewinnen. Die Links hinter den QR-Codes führen dann beispielsweise auf die Seite des Wettbewerbs, für den man sich erst anmelden und einige persönliche Informationen bekannt geben muss.
 +
 +Beispiel: [[https://www.tagesanzeiger.ch/bern-luzern-lausanne-twint-betrueger-zu-180-tagen-freiheitsstrafe-verurteilt-262291451847|QR-Codes auf Parkuhren]]
  
 \\ \\
Zeile 96: Zeile 105:
     * Anderen Kriminellen das Handwerk legen?     * Anderen Kriminellen das Handwerk legen?
     * An geheime Daten einer Organisation kommen und diese löschen – oder veröffentlichen?     * An geheime Daten einer Organisation kommen und diese löschen – oder veröffentlichen?
-  - **Zielpersonen, -Gruppen oder -Organisationen:** Aufgrund eures Ziels bestimmt ihr, auf wen oder was ihr eure Aufmerksamkeit richtet. +  - **Zielpersonen, -Gruppen oder -Organisationen:*
-  - **Konzept:** Besprecht und skizziert eure Strategie auf einer Notiz (Papier oder elektronisch). **Dieses besprecht ihr mit der Lehrperson**. +    * Aufgrund eures Ziels bestimmt ihr, auf wen oder was ihr eure Aufmerksamkeit richtet. 
 +  - **Konzept:** Besprecht und skizziert eure Strategie auf einer Notiz (Papier oder elektronisch). **Besprecht sie mit der Lehrperson**. 
     * Das Konzept beschreibt die unterschiedlichen Phasen euerer Strategie: Vorbereitung, Recherche, Daten sammeln/phishen, gesammelte Daten für eine bestimmte Aktion nutzen etc.     * Das Konzept beschreibt die unterschiedlichen Phasen euerer Strategie: Vorbereitung, Recherche, Daten sammeln/phishen, gesammelte Daten für eine bestimmte Aktion nutzen etc.
     * Nutzt einen oder mehrere der oben beschriebenen Social-Engineering-Vektoren. Ihr könnt auch andere, hier nicht beschriebene Vektoren wählen.     * Nutzt einen oder mehrere der oben beschriebenen Social-Engineering-Vektoren. Ihr könnt auch andere, hier nicht beschriebene Vektoren wählen.
 +      * Dies ist der Kern der Arbeit: Wie wird Social Engineering verwendet, um an Geld oder Daten zu kommen?
     * Wenn ihr Ideen braucht: Sucht im Internet nach Social-Engineering-Tricks.     * Wenn ihr Ideen braucht: Sucht im Internet nach Social-Engineering-Tricks.
     * Werdet ihr wirklich reich? Wieviel liegt drin für jedes Teammitglied?     * Werdet ihr wirklich reich? Wieviel liegt drin für jedes Teammitglied?
       * s.a. https://www.privacyaffairs.com/dark-web-price-index-2023/       * s.a. https://www.privacyaffairs.com/dark-web-price-index-2023/
-  - **Master-Plan:** Jetzt könnt ihr euer Konzept zu einem Plan ausarbeiten, der auch die nötigen Details enthält. Solche Details sind zum Beispiel:+    * Lässt sich die Attacke **skalieren** (werdet ihr mit wenig Zusatzaufwand 10 mal reicher)? 
 +  - **Master-Plan:** Jetzt könnt ihr euer Konzept zu einem Plan ausarbeiten, der auch die nötigen _Artefakte_ enthält. Artefakte sind zum Beispiel:
     * Texte einer Phishing-Email in vollständigem Wortlaut,     * Texte einer Phishing-Email in vollständigem Wortlaut,
     * Skripte (Ansagen und mögliche Antworten) für Vishing-Gespräche,      * Skripte (Ansagen und mögliche Antworten) für Vishing-Gespräche, 
     * Bilder von Phishing-Webseiten etc.     * Bilder von Phishing-Webseiten etc.
 +    * Video-Sequenzen, die einen Teil der Operation nachspielen.
 +    * Für die Artefakte dürft ihr hemmungslos kopieren, fälschen, photoshoppen, KI-Tools benützen, was das Zeug hält.
   - **Zusammenstellung:** Zeichnet euren Plan mit den einzelnen Phasen übersichtlich auf einem **A3-Plakat** auf. Bilder oder Texte könnt ihr auch auf separaten Blättern bereithalten.    - **Zusammenstellung:** Zeichnet euren Plan mit den einzelnen Phasen übersichtlich auf einem **A3-Plakat** auf. Bilder oder Texte könnt ihr auch auf separaten Blättern bereithalten. 
   - **Videobotschaft filmen:** Nun filmt ihr das Plakat und erklärt euren Plan. Dabei könnt ihr auch Bilder oder Texte dazulegen und wieder wegnehmen. **Die Botschaft muss so gemacht sein, dass die Zuschauenden klar und deutlich verstehen, wie genau eure Strategie funktionieren soll.**   - **Videobotschaft filmen:** Nun filmt ihr das Plakat und erklärt euren Plan. Dabei könnt ihr auch Bilder oder Texte dazulegen und wieder wegnehmen. **Die Botschaft muss so gemacht sein, dass die Zuschauenden klar und deutlich verstehen, wie genau eure Strategie funktionieren soll.**
  • gf_informatik/phishing.1738488334.txt.gz
  • Zuletzt geändert: 2025-02-02 09:25
  • von hof