291 lines
10 KiB
YAML
291 lines
10 KiB
YAML
lessonKey: "social-engineering-password"
|
|
title: "Social Engineering - Passwortsicherheit"
|
|
description: "Lernen Sie, wie persönliche Informationen aus sozialen Medien zu schwachen Passwörtern führen können"
|
|
difficultyLevel: "beginner"
|
|
estimatedDuration: 20
|
|
module: "social-engineering-password"
|
|
|
|
steps:
|
|
- id: "intro"
|
|
type: "content"
|
|
title: "Was ist Social Engineering?"
|
|
content: |
|
|
Social Engineering ist eine Manipulation von Menschen, um vertrauliche Informationen preiszugeben oder Sicherheitsmaßnahmen zu umgehen. Anders als technische Angriffe zielen Social-Engineering-Angriffe auf die menschliche Psychologie ab.
|
|
|
|
**Häufige Social-Engineering-Taktiken:**
|
|
• Informationen aus sozialen Medien sammeln (OSINT)
|
|
• Persönliche Details für Passwörter nutzen
|
|
• Vertrauen ausnutzen
|
|
• Dringlichkeit vortäuschen
|
|
• Autorität vortäuschen
|
|
• Neugier ausnutzen
|
|
|
|
**Warum ist das gefährlich?**
|
|
Menschen teilen freiwillig Informationen in sozialen Medien, die Angreifer nutzen können:
|
|
• Namen von Haustieren
|
|
• Geburtsdaten von Kindern
|
|
• Lieblingsorte oder -teams
|
|
• Geburtstage und Jubiläen
|
|
• Arbeitgeber und Positionen
|
|
• Hobbys und Interessen
|
|
|
|
Diese Informationen können verwendet werden, um:
|
|
• Passwörter zu erraten
|
|
• Sicherheitsfragen zu beantworten
|
|
• Phishing-Angriffe zu personalisieren
|
|
• Vertrauen zu gewinnen
|
|
|
|
- id: "osint"
|
|
type: "content"
|
|
title: "OSINT - Open Source Intelligence"
|
|
content: |
|
|
Open Source Intelligence (OSINT) bezeichnet das Sammeln von Informationen aus öffentlich zugänglichen Quellen. Soziale Medien sind eine Goldgrube für OSINT.
|
|
|
|
**Was Angreifer aus Social Media lernen können:**
|
|
|
|
**Facebook/Instagram:**
|
|
• Freunde und Familienmitglieder
|
|
• Wohnort und Arbeitgeber
|
|
• Reisen und Aufenthaltsorte
|
|
• Haustiere (oft mit Namen)
|
|
• Kinder (oft mit Alter/Geburtsjahr)
|
|
• Hobbys und Interessen
|
|
|
|
**LinkedIn:**
|
|
• Vollständige Berufshistorie
|
|
• Bildungsweg
|
|
• Fähigkeiten und Zertifizierungen
|
|
• Geschäftskontakte
|
|
• Arbeitszeiten und Verantwortlichkeiten
|
|
|
|
**Twitter/X:**
|
|
• Echtzeitaktivitäten
|
|
• Politische Ansichten
|
|
• Tägliche Routinen
|
|
• Technologie-Präferenzen
|
|
|
|
**Wie wird das ausgenutzt?**
|
|
|
|
1. **Passwort-Erraten:**
|
|
• Haustiername + Geburtsjahr des Kindes
|
|
• Lieblingsverein + Hochzeitsjahr
|
|
• Spitzname + Hausnummer
|
|
|
|
2. **Sicherheitsfragen:**
|
|
• "Name Ihres ersten Haustieres?" → Auf Instagram gepostet
|
|
• "Geburtsort Ihrer Mutter?" → Im Profil erwähnt
|
|
• "Name Ihrer ersten Schule?" → LinkedIn Bildung
|
|
|
|
3. **Spear-Phishing:**
|
|
• Personalisierte E-Mails mit echten Details
|
|
• Vorwand, der auf Interessen basiert
|
|
• Zeitlich abgestimmte Angriffe (wenn Sie im Urlaub sind)
|
|
|
|
**Beispiel:**
|
|
Ein Angreifer sieht auf Instagram:
|
|
• Post über Hund "Max" (2019)
|
|
• Post über Zwillinge "Emma & Liam" (geboren 2020)
|
|
• Lieblingsverein "FC Bayern"
|
|
|
|
Mögliche Passwörter zum Testen:
|
|
• max2019
|
|
• emma2020
|
|
• bayern2020
|
|
• maxbayern
|
|
• emmaliam
|
|
|
|
- id: "social-media-demo"
|
|
type: "interactive"
|
|
title: "Social Media Profil & Passwort-Demo"
|
|
interactiveComponent: "SocialMediaPasswordDemo"
|
|
content: |
|
|
Unten sehen Sie ein simuliertes Social-Media-Profil einer fiktiven Person namens Sophia Müller. Ihre Aufgabe ist es, ihr Passwort zu erraten, indem Sie Informationen aus ihren Posts verwenden.
|
|
|
|
**Anleitung:**
|
|
1. Lesen Sie die Posts im Social-Media-Profil sorgfältig
|
|
2. Achten Sie auf persönliche Details (Namen, Jahreszahlen, etc.)
|
|
3. Versuchen Sie, das Passwort im Login-Formular zu erraten
|
|
4. Nutzen Sie die Hinweise, wenn Sie feststecken
|
|
|
|
Dies demonstriert, wie leicht Passwörter erraten werden können, wenn sie auf öffentlich verfügbaren Informationen basieren.
|
|
|
|
- id: "question-1"
|
|
type: "question"
|
|
questionType: "multiple_choice"
|
|
question: "Welche Informationen aus Social-Media-Profilen können für Passwörter missbraucht werden?"
|
|
options:
|
|
- id: "pet-names"
|
|
text: "Namen von Haustieren"
|
|
isCorrect: true
|
|
points: 10
|
|
- id: "birth-years"
|
|
text: "Geburtsjahre von Kindern"
|
|
isCorrect: true
|
|
points: 10
|
|
- id: "favorite-teams"
|
|
text: "Lieblingssportvereine oder -teams"
|
|
isCorrect: true
|
|
points: 10
|
|
- id: "profile-picture"
|
|
text: "Das Profilbild selbst"
|
|
isCorrect: false
|
|
points: 0
|
|
- id: "anniversaries"
|
|
text: "Hochzeitstage oder Jubiläen"
|
|
isCorrect: true
|
|
points: 10
|
|
maxPoints: 40
|
|
feedback:
|
|
correct: "Richtig! Alle diese persönlichen Informationen werden häufig in unsicheren Passwörtern verwendet und sind leicht aus Social-Media-Profilen zu extrahieren."
|
|
partial: "Gut! Sie haben einige der gefährlichen Informationen erkannt. Denken Sie daran, dass fast alle persönlichen Details missbraucht werden können."
|
|
incorrect: "Überprüfen Sie das Demo. Namen, Jahreszahlen und persönliche Vorlieben aus Social Media können alle für Passwörter verwendet werden."
|
|
|
|
- id: "password-patterns"
|
|
type: "content"
|
|
title: "Häufige Passwort-Muster"
|
|
content: |
|
|
**Die häufigsten unsicheren Passwort-Muster:**
|
|
|
|
**1. Name + Jahreszahl**
|
|
• bella2018
|
|
• max2020
|
|
• luna2019
|
|
Warum unsicher: Beide Teile sind oft öffentlich bekannt
|
|
|
|
**2. Wort + einfache Ziffernfolge**
|
|
• passwort123
|
|
• sommer2024
|
|
• welcome1
|
|
Warum unsicher: Sehr vorhersagbar, oft in Wörterbüchern
|
|
|
|
**3. Tastaturmuster**
|
|
• qwertz
|
|
• asdfgh
|
|
• 123456
|
|
Warum unsicher: Erste Option bei Brute-Force-Angriffen
|
|
|
|
**4. Persönliche Informationen**
|
|
• vorname.nachname
|
|
• geburtsdatum
|
|
• telefonnummer
|
|
Warum unsicher: Leicht zu recherchieren
|
|
|
|
**5. Einfache Substitutionen**
|
|
• P@ssw0rt (Passwort)
|
|
• H3ll0 (Hello)
|
|
Warum unsicher: Angreifer kennen diese Tricks
|
|
|
|
**Statistiken:**
|
|
• 73% der Menschen verwenden Passwörter, die persönliche Informationen enthalten
|
|
• 50% der Passwörter sind kürzer als 10 Zeichen
|
|
• 35% verwenden denselben Passwort-Typen überall
|
|
• Die häufigsten Passwort-Bestandteile:
|
|
1. Namen (Personen, Haustiere)
|
|
2. Geburtsjahre
|
|
3. Einfache Wörter ("Passwort", "Admin")
|
|
4. Zahlenfolgen (123456, 111111)
|
|
5. Sportvereine oder Marken
|
|
|
|
**Warum verwenden Menschen schwache Passwörter?**
|
|
• Leicht zu merken
|
|
• Bequemlichkeit
|
|
• Mangelndes Sicherheitsbewusstsein
|
|
• Zu viele Konten zum Verwalten
|
|
• Unterschätzung des Risikos
|
|
|
|
- id: "question-2"
|
|
type: "question"
|
|
questionType: "single_choice"
|
|
question: "Was ist die BESTE Methode für sichere Passwörter?"
|
|
options:
|
|
- id: "same-password"
|
|
text: "Ein sehr langes Passwort für alle Konten verwenden"
|
|
isCorrect: false
|
|
points: 0
|
|
- id: "password-manager"
|
|
text: "Einen Passwort-Manager mit zufällig generierten Passwörtern verwenden"
|
|
isCorrect: true
|
|
points: 30
|
|
- id: "write-down"
|
|
text: "Komplexe Passwörter aufschreiben und sicher aufbewahren"
|
|
isCorrect: false
|
|
points: 0
|
|
- id: "substitution"
|
|
text: "Wörter mit Zahlen und Sonderzeichen ersetzen (z.B. P@ssw0rt)"
|
|
isCorrect: false
|
|
points: 0
|
|
maxPoints: 30
|
|
feedback:
|
|
correct: "Ausgezeichnet! Passwort-Manager generieren einzigartige, zufällige Passwörter für jedes Konto und speichern sie verschlüsselt. Sie müssen sich nur ein Master-Passwort merken."
|
|
incorrect: "Passwort-Manager sind die beste Lösung. Sie generieren starke, zufällige Passwörter für jedes Konto, sodass Sie sich nur ein Master-Passwort merken müssen. Einfache Substitutionen oder wiederverwendete Passwörter sind nicht sicher."
|
|
|
|
- id: "digital-footprint"
|
|
type: "content"
|
|
title: "Digitaler Fußabdruck und Privatsphäre"
|
|
content: |
|
|
**Was Sie NICHT in Social Media teilen sollten:**
|
|
|
|
**🚫 Vermeiden Sie diese Informationen:**
|
|
|
|
**Passwort-relevante Details:**
|
|
• Namen von Haustieren (besonders mit Geburtsjahren)
|
|
• Geburtsdaten von Kindern
|
|
• Mädchenname der Mutter
|
|
• Erste Schule oder Wohnort
|
|
• Lieblingsteam oder -verein
|
|
• Hochzeitsdatum
|
|
• Wichtige Jubiläen
|
|
|
|
**Sicherheitsrelevante Details:**
|
|
• Vollständige Adresse
|
|
• Reisepläne (vor der Reise)
|
|
• Arbeitspläne und Routinen
|
|
• Finanzdaten oder Erfolge
|
|
• Vollständiges Geburtsdatum
|
|
• Telefonnummer
|
|
• E-Mail-Adresse (öffentlich)
|
|
|
|
**Kinder-bezogene Informationen:**
|
|
• Vollständige Namen und Alter
|
|
• Schule oder Kindergarten
|
|
• Routinen und Zeitpläne
|
|
• Genauer Wohnort
|
|
• Fotos mit Standort-Tags
|
|
|
|
**Best Practices für Social Media:**
|
|
|
|
**✅ Datenschutz-Einstellungen:**
|
|
• Profil auf "privat" stellen
|
|
• Freundesliste verbergen
|
|
• Standortdienste deaktivieren
|
|
• Gesichtserkennung deaktivieren
|
|
• Suchmaschinen-Indexierung verhindern
|
|
|
|
**✅ Vorsichtiges Teilen:**
|
|
• Überlegen Sie, wer es sehen kann
|
|
• Posten Sie Urlaubsfotos NACH der Rückkehr
|
|
• Verwenden Sie Spitznamen statt echte Namen
|
|
• Vermeiden Sie detaillierte Standortangaben
|
|
• Keine Fotos von Haus/Auto mit erkennbaren Merkmalen
|
|
|
|
**✅ Regelmäßige Überprüfung:**
|
|
• Alte Posts durchgehen und löschen
|
|
• Freundesliste aufräumen
|
|
• Datenschutz-Einstellungen aktualisieren
|
|
• Verknüpfte Apps überprüfen
|
|
• Suchmaschinen-Ergebnisse für Ihren Namen prüfen
|
|
|
|
**Denken Sie daran:**
|
|
Alles, was Sie online posten, kann:
|
|
• Für immer gespeichert werden
|
|
• Screenshot und geteilt werden
|
|
• Von Arbeitgebern gefunden werden
|
|
• Gegen Sie verwendet werden
|
|
• Nicht vollständig gelöscht werden
|
|
|
|
**"Wenn Sie es nicht jedem Fremden auf der Straße erzählen würden, posten Sie es nicht online!"**
|
|
|
|
scoring:
|
|
passingScore: 65
|
|
maxTotalPoints: 130 # 70 from questions + 30-60 from cracking password (based on attempts)
|