🔐 Launch-Aktion: Spare 25% Rabatt auf alle Lernpfade & Zertifikate – Code LAUNCH25 gültig bis 18.03.
Menü
Matrix Background
Evil Twin WiFi

Evil Twin WiFi im Red Teaming verstehen

Was ist ein Evil Twin WiFi Angriff?

Definition und Grundlagen eines Evil Twin WiFi Angriffs

Ein Evil Twin WiFi Angriff ist eine Angriffstechnik aus dem Bereich der Netzwerksicherheit, bei der ein Angreifer ein gefälschtes WLAN-Netzwerk erstellt, das einem legitimen Netzwerk stark ähnelt oder denselben Namen trägt. Das Ziel besteht darin, Benutzer dazu zu bringen, sich mit diesem manipulierten Netzwerk zu verbinden, sodass der gesamte Datenverkehr über das System des Angreifers läuft.

Der Begriff Evil Twin bedeutet übersetzt „böser Zwilling“ und beschreibt ein WLAN-Netzwerk, das wie eine identische Kopie eines legitimen Hotspots aussieht. Besonders häufig treten solche Angriffe in öffentlichen Bereichen auf, etwa in Hotels, Flughäfen, Cafés oder Konferenzen, wo viele Nutzer nach frei verfügbaren WLAN-Verbindungen suchen.

Sobald sich ein Benutzer mit dem gefälschten WLAN verbindet, kann der Angreifer den Netzwerkverkehr überwachen, Daten abfangen oder den Benutzer auf manipulierte Webseiten weiterleiten. Dadurch können Login-Daten, persönliche Informationen oder Session-Cookies gestohlen werden.

In der Praxis werden Evil Twin Angriffe häufig in Penetration Tests oder Red Team Assessments eingesetzt, um zu überprüfen, wie sicher Benutzer mit öffentlichen WLAN-Netzwerken umgehen.

Typischer Ablauf eines Evil Twin WiFi Angriffs

Ein Evil Twin WiFi Angriff beginnt meist damit, dass ein Angreifer ein eigenes WLAN-Netzwerk erstellt, das denselben Namen wie ein legitimer Hotspot trägt. Viele Geräte verbinden sich automatisch mit bekannten Netzwerken, wenn diese verfügbar sind.

Wenn das Signal des gefälschten Netzwerks stärker ist als das des originalen WLANs, verbinden sich viele Geräte automatisch mit dem Angreifer-Netzwerk. Der Benutzer bemerkt häufig nicht, dass er sich mit einem manipulierten Zugangspunkt verbunden hat.

Nachdem sich das Opfer verbunden hat, kann der Angreifer den gesamten Datenverkehr analysieren. Er kann beispielsweise versuchen, unverschlüsselte Verbindungen mitzulesen oder Benutzer auf manipulierte Login-Seiten umzuleiten.

In manchen Fällen wird zusätzlich ein Captive Portal verwendet, das eine scheinbar legitime Anmeldeseite anzeigt. Der Benutzer wird dort aufgefordert, seine Zugangsdaten einzugeben.

Diese Daten werden anschließend direkt an den Angreifer übertragen.

Technische Methoden bei Evil Twin WiFi Angriffen

Angreifer nutzen verschiedene technische Methoden, um einen Evil Twin WiFi Angriff umzusetzen. Eine häufige Technik besteht darin, einen Access Point mit identischer SSID (Netzwerkname) zu erstellen. Dadurch sieht das Netzwerk für Benutzer genau wie der originale Hotspot aus.

In vielen Angriffsszenarien wird zusätzlich ein Man-in-the-Middle Angriff eingesetzt. Dabei wird der Datenverkehr zwischen dem Benutzer und dem eigentlichen Internetdienst abgefangen und analysiert.

Auch sogenannte Deauthentication Angriffe werden häufig verwendet. Dabei werden Benutzer aus dem echten WLAN-Netzwerk getrennt, sodass sich ihre Geräte automatisch mit dem gefälschten Netzwerk verbinden.

Nach erfolgreicher Verbindung kann der Angreifer verschiedene Angriffstechniken einsetzen, etwa Session Hijacking, Phishing Seiten oder das Abfangen von Netzwerkdaten.

Diese Kombination aus Netzwerkmanipulation und Social Engineering macht Evil Twin Angriffe besonders effektiv.

Schwierigkeit und Gefährdungspotenzial eines Evil Twin Angriffs

Die Durchführung eines Evil Twin WiFi Angriffs erfordert vergleichsweise wenig Hardware. Mit einem Laptop und einem geeigneten WLAN-Adapter kann ein Angreifer ein solches Netzwerk aufbauen.

Das Gefährdungspotenzial ist besonders hoch in Umgebungen mit vielen öffentlichen WLAN-Netzen. Benutzer verbinden sich dort oft automatisch mit verfügbaren Netzwerken, ohne deren Echtheit zu überprüfen.

Wenn ein Benutzer sensible Daten über ein solches Netzwerk überträgt, kann ein Angreifer diese möglicherweise abfangen. Dazu gehören beispielsweise Login-Daten, E-Mail-Zugangsdaten oder Sitzungsinformationen von Webdiensten.

In Unternehmensumgebungen kann ein solcher Angriff auch dazu führen, dass Angreifer Zugang zu internen Systemen erhalten, wenn Mitarbeiter ihre Geräte mit dem manipulierten Netzwerk verbinden.

Deshalb gilt der Schutz vor solchen Angriffen als wichtiger Bestandteil moderner Netzwerksicherheitsstrategien.

Schutzmaßnahmen gegen Evil Twin WiFi Angriffe

Der wichtigste Schutz gegen Evil Twin WiFi Angriffe besteht darin, öffentliche WLAN-Netzwerke mit Vorsicht zu nutzen. Benutzer sollten darauf achten, dass sie sich nur mit vertrauenswürdigen Netzwerken verbinden.

Auch die Verwendung von VPN-Verbindungen kann helfen, den Datenverkehr zu schützen. Ein VPN verschlüsselt die Kommunikation, sodass abgefangene Daten nicht im Klartext vorliegen.

Zusätzlich sollten Benutzer darauf achten, keine sensiblen Daten über ungesicherte Netzwerke zu übertragen. Wenn möglich, sollte stattdessen eine mobile Datenverbindung verwendet werden.

Unternehmen setzen außerdem auf Network Monitoring, Wireless Intrusion Detection Systeme und regelmäßige Sicherheitsanalysen, um manipulierte WLAN-Zugänge frühzeitig zu erkennen.

Durch eine Kombination aus sicherem Nutzerverhalten, verschlüsselten Verbindungen und moderner Netzwerksicherheitssoftware lässt sich das Risiko eines erfolgreichen Evil Twin WiFi Angriffs deutlich reduzieren.

Einsatz von Evil Twin WiFi im Red Teaming

Bei einer realistischen Angriffssimulation wird Evil Twin WiFi meist nicht isoliert eingesetzt. Angreifer kombinieren mehrere Techniken miteinander, um schrittweise Zugang zu Systemen zu erhalten. Zunächst erfolgt häufig eine Informationssammlung, danach wird ein Einstiegspunkt gesucht und anschließend versucht, die eigenen Zugriffsrechte auszubauen.


Für Verteidiger ist das Verständnis solcher Angriffstechniken entscheidend. Blue Teams analysieren beispielsweise Netzwerkverkehr, Authentifizierungsversuche und ungewöhnliche Systemaktivitäten, um genau solche Angriffsmuster frühzeitig zu erkennen.


Wer sich intensiver mit Cybersecurity beschäftigt, sollte daher sowohl die offensive als auch die defensive Perspektive verstehen. Nur so lässt sich nachvollziehen, wie Angriffe entstehen und welche Schutzmaßnahmen in Unternehmen wirklich wirksam sind.


Auf der Plattform Hacking-Kurse können Lernende ihr Wissen durch strukturierte Lernpfade vertiefen und anschließend Cybersecurity-Zertifikate erwerben. Diese Zertifikate dienen als praktischer Nachweis für Kenntnisse im Bereich Red Teaming, Ethical Hacking und IT-Sicherheit und können auch im beruflichen Umfeld als Qualifikationsnachweis genutzt werden.

Weitere Red-Team Themen:
phishing, spear-phishing, whaling, vishing, smishing, csrf, xss, sql-injection, command-injection, file-upload, directory-traversal, brute-force, password-spraying, credential-stuffing, session-hijacking, mitm, dns-spoofing, arp-spoofing, privilege-escalation, lateral-movement, token-impersonation, pass-the-hash, pass-the-ticket, dll-hijacking, supply-chain, watering-hole, drive-by-download, data-exfiltration, persistence-mechanisms

Zurück zur Übersicht

Red Team Lernpfade ansehen »