23:47 Uhr. Sarah, Fintech-Entwicklerin, tippt auf die Slack-Nachricht zu ihrem ablaufenden GitHub-Token. Grüner Button glänzt einladend; sie loggt sich ein, ab ins Bett.
Morgen kracht es rein wie ein Güterzug: Private Repos geklont, AWS-Keys geklaut, Produktions-DBs spucken Daten auf einen Server in Bukarest. Diese ‘GitHub’-Seite? Pixelgenauer Klon, in unter zwei Stunden aus einem Gratis-Phishing-Kit auf einem gekaperten WordPress-Blog gezogen. Slack-Webhook als Killer-Feature.
Phishing ist kein Spray-and-Pray mehr. Präzise Ingenieurskunst, die gestresste Devs wie uns abzieht.
Die Klonmaschine: Von echter Site zum Credential-Fallensteller in Minuten
HTTrack oder wget –mirror schnappen, auf github.com/login richten. Zack – HTML, CSS, JS, Bilder runtergesaugt. Angreifer passt an: Form-Action auf eigenes PHP-Logger-Skript. Opfer tippt Credentials; Skript fischt sie raus, loggt in Datei, leitet nahtlos zur echten GitHub-Seite um mit ‘Fehler – nochmal versuchen.’
Hier die fiese Einfachheit:
php $data = $_POST; file_put_contents('logs.txt', json_encode($data) . "\n", FILE_APPEND); header('Location: https://real-site.com/login-error'); exit();Zwölf Zeilen. Tausende Kampagnen monatlich. Kein Doktortitel nötig.
Aber Laufzeit zählt wirklich. Google Safe Browsing riecht die Site in einer Stunde? Wertlos. Hier kommt der Evasion-Stack – Schichten aus If-Thens, die den Shutdown verzögern.
Erstmal: Domain-Cloaking. Kyrillisches ‘а’ (U+0430) tarnt sich als lateinisches ‘a’ (U+0061). paypаl.com sieht identisch aus, leitet woanders hin. Oder Homoglyphen-Hölle: rnicrosoft.com statt microsoft.com.
Code-Ausschnitt aus einem geleakten Kit prüft Besucher:
python BLOCKED_RANGES = ["66.249.0.0/16", # Google "157.55.0.0/16", # Bing "40.77.0.0/16"] # Microsoft def should_serve_payload(request): ip = request.remote_addr # ... bot checks, referrer sniff return True
Big-Tech-Bots? Leere Seite. Echte User? Payload fällt.
Wie funktionieren Abwehren eigentlich – und warum scheitern sie?
Security-Firmen mixen Signale: URL-Features in XGBoost oder fein abgestimmten Transformern. Domain-Entropie markiert Botnet-Gibberish (hoher Shannon-Wert schreit ‘algo-generiert’). Subdomain-Kram wie paypal.secure-login.xyz? Alarm – PayPal ist nicht die registrierbare Domain.
Visuelle Ähnlichkeit? Härteste Nuss. Headless Browser rendert verdächtige Seite, knipst Above-the-Fold-Screenshot, pHasht gegen Bekannt-Gutes. CNN klassifiziert. Rechenintensiv; Angreifer weichen aus mit JS-Verzögern oder bedingten Loads.
Aber mein Twist, den Breakdowns fehlt: Das erinnert an Xerox PARC-Zeiten. Legitime Tools (wget, PHP) werden zu Waffen kopiert. Damals gebaren’s GUI-Demos Apps; heute Crimeware-Märkte. Phishing-Kits für 20 Dollar auf Telegram – Spionage für Script-Kiddies, Kalter-Krieg-Stil.
Prognose? AI kommt. Keine statischen Klone mehr; LLMs spucken dynamische Seiten, die sich an deinen Browser anpassen. Detection hinkt nach.
Warum fallen 2024 noch Top-Entwickler drauf rein?
Psyche ist klar: Kontextwechsel-Erschöpfung. Slack pingt im Crunch; wer checkt URLs? Aber Tech verschiebt sich. Browser warnen vor self-signed HTTPS? Kits holen echte Certs via Let’s Encrypt-Missbrauch oder geklaute Accounts.
Entropie-Checks? Kits imitieren jetzt menschliche Domains – niedrige Zufälligkeit. Cloaking wird besser: Geofencing serviert Clean-Shit an Scanner aus deiner PLZ.
Sarahs Breach? Kein visueller Unterschied; gleiche Fonts, responsive Zauberei. Tools wie VirusTotal flaggen nachträglich – kalter Trost.
Selber spotten. Links hovern – Mismatch? Abhauen. Übertriebenes HTTPS auf dubiosen Pfaden checken. Browser-Devtools: Elemente inspizieren auf rogue Forms, die an komische Endpoints posten. Entropie-Rechner? Console-Hack: (-btoa('domain').split('').reduce((s,c)=>s+Math.log2(95)/Math.log2(256)*c.charCodeAt(0),0)/btoa('domain').length).toFixed(2) – über 3,5? Verdächtig.
Firmen nennen’s ‘User Error’. Quatsch. Architekturell: Unsere
