Awareness / Phishing

Die 12 besten Phishing Tools für Phishing Simulationen

Veröffentlicht am

Phishing Simulationen gehören im Bereich der IT-Sicherheit als fester Bestandteil zu jeder Sicherheitsstrategie mit dazu. Das liegt ganz einfach daran, dass Phishing nach wie vor ein großes und ernst zu nehmendes Problem darstellt, durch das Firmen relativ einfach und schnell kompromittieren kann. Die Phishing Simulation verschafft Ihnen hier Sicherheit und sensibilisiert die eigenen Mitarbeiter für das überaus wichtige Thema, denn am Ende kommt es vorwiegend auf die Sensibilisierung im eigenen Unternehmen an, um etwaige Angriffe zu verhindern. Nur wenn Mitarbeiter ganz genau wissen, was sie erwartet und womit sie es zu tun haben, können sie darauf vorbereitet sein und im Ernstfall korrekt reagieren. Dabei helfen Phishing Simulationen, die teilweise auch automatisch mit entsprechenden Tools durchgeführt werden können.

Was sind Phishing Simulationen?

An dieser Stelle möchten wir nicht erneut und detailliert darauf eingehen, was eine Phishing Simulation genau ist und wie selbige aufgebaut wird. In unserem Artikel »Was ist eine Phishing Simulation?« haben wir dies bereits getan und sind dabei tief in die Materie der Phishing Simulationen abgetaucht. Wer alle Details erfahren möchte, liest sich den verlinkten Artikel daher noch einmal genauer durch. Alle anderen bekommen hier nun noch einmal kurz und knapp erklärt, worum es sich bei den Phishing Simulationen handelt.

Im Grunde sind Phishing Simulationen nichts anderes als ein kontrollierter Angriff. Wir als Dienstleister übernehmen dabei die Rolle des Angreifers und versuchen, an die entsprechenden Daten zu gelangen. Wir simulieren also unterschiedliche Arten von Phishing-Angriffen und finden auf diese Weise heraus, ob im Unternehmen ein Risiko für erfolgreiche Phishing-Angriffe vorhanden ist.

Die Phishing Simulation ist am Ende also nichts anderes als ein simulierter Angriff, um Schwachstellen im Bereich Phishing zu finden und entsprechend aufzudecken.

Tools für Phishing Simulationen

Nun geht natürlich nichts über manuelle Szenarien und Tests. Im Sicherheitsbereich ist allgemein bekannt, dass vor allem händische und manuell durchgeführte Tests entsprechend zielgerichtet durchgeführt werden können und demnach auch entsprechend genaue Ergebnisse hervorbringen. Doch dennoch gibt es inzwischen eine Vielzahl an Tools, die dabei helfen können, solche Phishing Simulationen automatisiert stattfinden zu lassen.

Diese Tools können, je nach Anwendungsfall, eine große Hilfe bei Phishing Simulationen sein. Vor allem dann, wenn das Budget oder das Wissen für eine manuelle Phishing Simulation fehlt. In diesem Teil möchten wir Ihnen daher ein paar der gängigen Phishing Tools genauer vorstellen und ihren Einsatzzweck ein wenig erläutern.

1. Zphisher

Zphisher ist ein Phishing Tool für Beginner und Neulinge, welches einige automatisierte Phishing Tests enthält. Genauer gesagt hat Zphisher aktuell ungefähr dreißig Phishing-Vorlagen parat, mit denen automatisierte Testläufe gestartet und durchgeführt werden können. Spannend ist, wie zuvor erwähnt, dass sich Zphisher sehr stark an Anfänger richtet und demnach wenig Komplexität aufweist.

2. Evilginx2

Das Phishing Tool Evilginx2 bezeichnet sich selbst als Man-in-the-Middle Framework für Angriffe. Dazu verwendet Evilginx2 Sitzungscookies, um ein effektives Angriffssystem zu schaffen. Das Tool selbst dient also für das Phishing von Anmeldedaten, mit denen unterschiedliche Zwei-Faktor-Authentifizierungen umgangen werden können. Die zwei im Namen deutet darauf hin, dass Evilginx2 der Nachfolger vom allseits beliebten Evilginx ist, welches Sicherheitsforscher nur zu gut kennen. In Evilginx2 ist der eigene HTTP- und DNS-Server bereits implementiert, der bei Evilginx noch in Form eines nginx-HTTP-Servers Proxys bestand.

3. Gophish

Mit dem Phishing Tool Gophish, welches über eine REST-API betrieben wird, sind vielfältige Phishing-Angriffe möglich. Das Tool selbst ist ein quelloffenes Framework. Es ist möglich innerhalb des Tools bestimmte Phishing-Vorlagen zu erstellen, ebenso wie Kampagnen, die Zeitplänen folgen und im Hintergrund verschickt werden. Richtig genial ist die schicke Oberfläche, die Gophish Ihnen dabei bietet. Alles kann visuell eingestellt werden, was die Verwendung des Phishing Tools nur noch vereinfacht. Das Web-Interface mit vollwertigem HTML-Editor ist da nur der Anfang, denn auch das Tracking der Ergebnisse erfolgt in schicken Darstellungen der wichtigsten Daten. Genutzt werden kann das Tool dank verschiedener Gophish Binaries unter Windows, MacOS und Linux.

4. HiddenEye

Sich selbst beschreibt HiddenEye als modernes Phishing Tool, welches über alle gängigen Werkzeuge verfügt. Egal, ob klassisches Phishing, Keylogger oder Sammelwerkzeuge für Social Engineering – HiddenEye hat alles für erfolgreiche Phishing-Attacken mit an Board. Mehrere Tunneling-Dienste, Serveo URL-Typ Auswahl, Penetrationstests auf höchster Ebene oder auch Live-Angriffe mit IP, Geolocation, ISP, Land, Adresse und vieles mehr sind möglich. Ein äußerst effizientes Phishing Tool also, welches sich ideal für besonders aufwendige Phishing Simulationen auf Unternehmensebene eignet.

5. Infosec IQ

Mit dem Infosec IQ Tool vom Entwickler Infosec sind automatisierte Phishing-Risikotests und simulierte Phishing-Kampagnen möglich. Das kostenlose Tool ist praktisch, allerdings auch nur die Vorschau auf das, was mit dem noch viel größerem Tool PhishSim des Herstellers möglich wird. Dieses dient dazu, vollwertige und höchst umfangreiche Phishing Simulationen im großen Stil durchzuführen. Mit mehr als 1.000 Phishing-Vorlagen können typische Szenarien schnell und einfach automatisiert abgefragt werden. Außerdem gibt es in PhishSim einen Drag-and-drop Builder für Phishing-E-Mails. Das Infosec IQ Tool ist also wirklich nur der Anfang dessen, was Entwickler Infosec Ihnen sonst noch so zu bieten hat.

6. King-Phisher

King-Phisher simuliert realistische und somit reale Phishing-Angriffe, um damit das Bewusstsein der Nutzer entsprechend stark zu sensibilisieren. Es ist also das ideale Phishing Tool, falls Sie eine umfangreiche Phishing Simulation geplant haben. King-Phisher ist beliebt, weil es besonders flexibel auftritt und eine vollständige Kontrolle der E-Mails und Serverinhalte gewährt. Durch seine Flexibilität ist es perfekt für einfache Phishing Simulationen, kann aber ebenso für komplizierte Szenarien eingesetzt werden. Die Oberfläche des Phishing Tools sieht dabei nicht unbedingt modern aus, erfüllt aber ihren Zweck, da sie dafür sorgt, dass alle Features von King-Phisher einfach ausgewählt und gesteuert werden können.

7. LUCY

LUCY ist als kommerzielles Tool entsprechend sorgfältig entwickelt worden, was unter anderem ein hübsches, wenn auch sehr wirres Web-Interface einbezieht. LUCY selbst ist eine vollwertige Social Engineering Plattform, die somit auch mehr als nur Phishing beherrscht. Die Sensibilisierung für derartige Attacken wird hier großgeschrieben, was unter anderem durch individualisierte Quizfragen erfolgt. Es gab oder gibt zwar eine Community-Version von LUCY, im Allgemeinen ist das Tool aber auch in drei kostspieligen und umfangreichen Enterprise-Versionen verfügbar. Als Plattform zur Sensibilisierung funktioniert LUCY allerdings problemlos, stabil und eignet sich auch als Phishing-Plattform für Awareness-Programme im größeren Umfang.

8. Phishing Frenzy

Mit dem Phishing Frenzy Phishing Tool können Sie im Grunde genommen vorwiegend Penetrationstest absolvieren. Das in Ruby on Rails verfasste Tool darf aber auch ruhig für Phishing Simulationen praktische Anwendung finden. Das liegt daran, dass das Tool durch einige Funktionen ebenso geeignet ist, entsprechende Phishing-Kampagnen durchzuführen, die dann intern im Unternehmen ausgeführt werden. Besonders hervorzuheben ist dabei die Möglichkeit, sehr umfangreiche und genaue Statistiken zu den Kampagnen anzufertigen. Für Anfänger ist Phishing Frenzy allerdings gar nicht geeignet.

9. SEToolkit

Das SEToolkit steht im Klartext für Social Engineer Toolkit und wird häufig auch einfach mit SET abgekürzt. Das Tool stammt aus dem Hause TrustedSec, genauer gesagt vom genialen Dave Kennedy. Das Tool wurde in Python geschrieben und eignet sich hervorragend für Penetrationstests innerhalb von Social Engineering. Im Bereich Phishing und als Phishing Tool kann SEToolkit Spear-Phishing E-Mails versenden und Massen E-Mail-Kampagnen durchführen. Als Python-basiertes Tool besitzt das SEToolkit keine grafische Oberfläche und eignet sich somit auch weniger für Anfänger, als vielmehr erfahrene Sicherheitsexperten.

10. Simple Phishing Toolkit

Beim Simple Phishing Toolkit finden wir vorwiegend eine Funktion interessant, nämlich die Weiterleitung zu einer vorbereiteten Landing Page. Innerhalb der Phishing Tests oder Simulationen können gephishte Nutzer dann auf diese Landing Page weitergeleitet werden. So lässt sich die Phishing Simulation gleich mit einer entsprechenden Sicherheitsschulung kombinieren. Auf diese Weise werden diejenigen, die hereingefallen sind, gleich entsprechend informiert, aufgeklärt und weitergebildet. Nutzer, die eine entsprechende Schulung absolviert haben, können mit dem Phishing Tool außerdem noch einmal gesondert verfolgt werden. Weil das Simple Phishing Toolkit aber nicht mehr aktiv weiterentwickelt wird, ist es schwierig, selbiges tatsächlich in einem Unternehmen einzusetzen oder gar zu empfehlen. Es gehört unserer Meinung nach aber dennoch in die Liste, weil es schlichtweg ein paar äußerst interessante Ansätze besitzt.

11. SpearPhisher

SpearPhisher ist ein spannendes Phishing Tool, was einst von TrustedSec entwickelt wurde. Das Ziel von SpearPhisher war es, ein möglichst einfaches Tool für die Erstellung von Phishing E-Mails zu programmieren. Ein Werkzeug also, welches nicht nur Sicherheitsexperten, sondern auch CEOs problemlos in ihrem Unternehmen einsetzen können. Ein Windows-basiertes Programm, mit einfacher Benutzeroberfläche und einem WYSIWYG HTML-Editor für die Erstellung schneller E-Mails. TrustedSec hat das Tool nach eigenen Angaben entwickelt, um Phishing E-Mails ohne externen Dienstleister oder komplizierte Linux-Installation zu ermöglichen.

12. SpeedPhish Framework (SPF)

Voranging als Pentesting Tool entwickelt, hat das SpeedPhish Framwork dennoch eine Menge Funktionen parat, um effektive Phishing-Angriffe zu starten. Das in Python geschriebene Programm ermöglicht Phishing-Kampagnen gegen mehrere Ziele und erlaubt das praktische Sammeln von E-Mails. Auch wenn SPF also in erster Linie Vorlagen für das Pentesting bereithält, lässt es sich auch wunderbar für gängige Phishing-Angriffe einsetzen. Ideal also, um eine Phishing Simulation durchzuführen.

Phishing Tools in Unternehmen einsetzen

Phishing nutzt vor allem die Schwachstelle Mensch aus. Diese sind gerade in Unternehmen immer wieder dafür verantwortlich, dass es zu Leaks oder Sicherheitslücken kommt. Meist liegt selbiges darin begründet, dass die entsprechende Sicherheitsschulung fehlt. Dann reicht eine relativ einfache Phishing E-Mail bereits aus, um an entsprechende Daten zu gelangen.

Phishing Simulationen helfen dabei, schnell und effektiv herauszufinden, wo etwaige Risiken und Lücken in Unternehmen zu finden sind. Viel wichtiger ist aber, dass sie offenlegen, wo es derzeit noch Probleme im eigenen Betrieb und den Systemen gibt. Hier kann für Aufklärung und Schutz gesorgt werden, bevor es dann zu einem tatsächlichen und bösartigen Phishing-Angriff kommt.

Unsere Übersicht der Phishing Tools umfasst dabei sowohl Werkzeuge, die dabei helfen solche Simulationen durchzuführen, als auch Tools, die weitgehend automatisch arbeiten. Am Ende sollte jeder fündig geworden sein und das ein oder andere Phishing Tool ausprobieren können.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.