Jeden Tag werden auch ganz normale Menschen angegriffen: automatisch, massenhaft, ohne dass es jemand merkt. Hier siehst du live und interaktiv, wie das aussieht. Und was du dagegen tun kannst.
Angriff live ansehen ▸ Ich wurde gehackt, Hilfe!Hier passiert nichts Echtes. Aber genau so sieht es aus, wenn deine Webseite, dein E-Mail-Postfach oder dein Konto angegriffen wird. Klick dich durch.
Bots durchsuchen das gesamte Internet automatisch nach bekannten Schwachstellen. Deine Seite ist keine Ausnahme: Sie wird gescannt, ob du willst oder nicht. Drück auf Start.
.env öffentlich ab, und nutze eine Firewall oder einen Dienst wie Cloudflare, der solche Anfragen automatisch blockt. Das Wichtigste: Updates, Updates, Updates.Diese Mail sieht echt aus, ist sie aber nicht. Klicke auf alles, was dir verdächtig vorkommt.
Sehr geehrter Kunde,
wir haben ungewöhnliche Aktivitäten auf Ihrem Konto festgestellt. Um eine Sperrung zu vermeiden, müssen Sie Ihre Identität sofort bestetigen. Andernfalls werden Ihre Konto unwiderruflich gesperrt.
Bitte halten Sie Ihre PIN und TAN-Liste bereit.
Mit freundlichen Grüßen,
Ihr Sparkasse Sicherheitsteam
Stell dir vor: Du erfährst gerade, dass deine Zugangsdaten in einem Datenleck stehen. Keine Panik, aber jetzt zählt jede Minute. Arbeite die Schritte ab (klicken zum Abhaken).
Sofort. Direkt auf der echten Webseite des Dienstes (selbst eintippen, nicht über Mail-Links!). Neues, langes Passwort wählen.
Angreifer probieren geleakte Passwörter automatisch bei hunderten anderen Diensten aus („Credential Stuffing"). E-Mail-Konto zuerst, es ist der Generalschlüssel zu allem.
Damit reicht ein gestohlenes Passwort allein nicht mehr aus. Gibt's in fast jedem Konto unter „Sicherheit". 5 Minuten Aufwand, riesiger Effekt.
In den Kontoeinstellungen: „Alle Geräte abmelden". So fliegt jeder raus, der sich schon eingeloggt hat.
Auf haveibeenpwned.com deine E-Mail eingeben, kostenlos und seriös. Zeigt dir, in welchen Lecks du auftauchst.
Damit hat ab jetzt jeder Dienst ein eigenes, starkes Passwort, und ein einzelnes Leck ist nur noch ein Schulterzucken statt einer Katastrophe.
Ein Angreifer „rät" nicht von Hand: Eine Software probiert riesige Listen geklauter und beliebter Passwörter durch. Schau zu, wie das aussieht, und block es dann.
Phishing per SMS („Smishing") ist aktuell die häufigste Betrugsmasche überhaupt, die Paket-Trick-SMS kennt fast jeder. Tippe auf alles, was dir verdächtig vorkommt.
Bei einem Man-in-the-Middle-Angriff hängt sich jemand zwischen dich und das Internet, z. B. mit einem gefälschten Hotspot, der „Cafe_Gratis_WLAN" heißt. Schau zu, was er sieht.
Jeder Server im Internet wird täglich hunderte Male von automatischen Scannern besucht. Manche sind harmlos, manche legitime Forschung, und manche suchen die offene Tür. Hier die üblichen Verdächtigen:
Die „Google-Suche für Geräte": katalogisiert alles, was am Internet hängt: Webcams, Router, Datenbanken. Hackt nichts selbst, aber macht Verwundbares auffindbar.
Will: wissen, was du betreibst. Gefahr: andere finden dich darüber.
Scannt das komplette Internet in unter einer Stunde. Wird von Forschern UND Angreifern genutzt, als erster Schritt: „Wo ist überhaupt etwas erreichbar?"
Will: offene Ports finden. Gefahr: liefert die Zielliste für echte Angriffe.
Klopfen Millionen Seiten nach veralteten WordPress-Installationen und unsicheren Plugins ab. Der häufigste Angriff auf kleine Webseiten überhaupt.
Will: deine Seite übernehmen (Spam, Schadcode). Schutz: Updates + Login-Schutz.
Probieren geleakte E-Mail/Passwort-Kombinationen aus alten Datenlecks bei tausenden Diensten aus. Darum ist Passwort-Recycling so gefährlich.
Will: in deine Konten. Schutz: einzigartige Passwörter + 2FA.
Suchen gezielt nach versehentlich veröffentlichten Geheimnissen: Konfigurationsdateien, Backups, Datenbank-Zugänge. Eine vergessene Datei = Volltreffer.
Will: Passwörter & Schlüssel. Schutz: solche Dateien nie im Webordner ablegen.
Googlebot, Bingbot & Forschungs-Scanner (z.B. Censys, Shadowserver) sind legitim. Sie halten sich an Regeln (robots.txt) und melden teils sogar Schwachstellen an Betreiber.
Merke: Nicht jeder Bot ist böse, aber Angreifer-Bots tarnen sich gern als die Guten.
Tippe ein Passwort ein (am besten nicht dein echtes, sondern eins, das so ähnlich aufgebaut ist). Es wird nirgendwohin gesendet, alles passiert lokal auf deinem Gerät.
Erst durchatmen. Die meisten Vorfälle lassen sich eindämmen, wenn du jetzt strukturiert vorgehst. Wähle dein Szenario:
Kommst du noch rein: Passwort ändern + alle Geräte abmelden. Kommst du nicht mehr rein: „Konto wiederherstellen"-Funktion des Anbieters nutzen.
Angreifer richten oft heimliche Weiterleitungen ein, um weiter mitzulesen. In den Mail-Einstellungen alles Fremde löschen.
Damit ist das Konto ab jetzt auch mit gestohlenem Passwort nicht mehr zu übernehmen.
Dein E-Mail-Konto ist der Schlüssel zu allem („Passwort vergessen"). Wichtige Konten (Bank, Amazon, Social Media) prüfen und Passwörter erneuern.
Kurze Nachricht an Freunde/Kollegen: „Mein Konto war gekapert, klickt nichts aus Mails von mir von gestern/heute."
Der zentrale Sperr-Notruf in Deutschland, rund um die Uhr, kostenlos. Alternativ direkt die Bank anrufen.
Nicht autorisierte Abbuchungen kann die Bank oft zurückholen: Je schneller du meldest, desto besser deine Chancen.
Von einem sauberen Gerät aus, falls dein Rechner betroffen sein könnte.
Online über die Onlinewache deines Bundeslandes oder vor Ort. Wichtig für die Erstattung durch die Bank! Beweise sichern: Screenshots der Mail, der Webseite, der Buchungen.
Betrüger testen oft erst mit Kleinstbeträgen, bevor sie zuschlagen.
WLAN aus, Netzwerkkabel ziehen. Das stoppt die Ausbreitung auf andere Geräte und Cloud-Speicher. Gerät nicht sofort ausschalten, erst trennen.
Lösegeld zahlen garantiert nichts und finanziert die Täter. Auf nomoreransom.org gibt es kostenlose Entschlüsselungs-Tools für viele Erpresser-Trojaner.
Mit dem Handy. Der Name des Trojaners hilft Profis bei der Rettung und der Polizei bei der Anzeige.
Alles, was auf dem infizierten Gerät gespeichert oder eingegeben wurde, gilt als kompromittiert.
Eine „Reinigung" ist unzuverlässig, neu installieren ist der einzig sichere Weg. Deshalb: Backups sind deine Lebensversicherung. Am besten eine externe Festplatte, die nicht ständig angeschlossen ist.
Schützt deine Besucher (die Seite verteilt evtl. Schadcode) und deinen Ruf. Beim Hoster geht das meist mit einem Klick.
Hosting-Zugang, FTP, Datenbank, Admin-Konto: alles. Von einem sauberen Rechner aus.
Gute Hoster haben Erfahrung mit gehackten Seiten, Logs und oft automatische Backups von vor dem Angriff.
Backup von vor dem Hack wiederherstellen, dann sofort System, Themes und Plugins aktualisieren, sonst kommt der Angreifer durch dieselbe Tür wieder rein.
Falls die Seite als „gefährlich" markiert wurde: in der Google Search Console eine Überprüfung beantragen.