Autorisiertes Red-Team-Phishing: Templates, GoPhish und Ethische Leitplanken

Ein Kunde unterzeichnete die Rules of Engagement am Freitag, am Montagmorgen erhielten 1.847 Mitarbeiter eine E-Mail, die das Zeiterfassungsportal klonte. In 38 Minuten: 312 Klicks, 89 Credentials abgegriffen, null SIEM-Alarme. Das ist die Art Operation, die autorisiertes Phishing von krimineller Betrugstat trennt: Vertragsbriefkopf, Ausfuhrungsfenster, eine CISO-Telefonnummer, die in 30 Sekunden alles abbricht, wenn etwas eskaliert. Red-Team-Phishing geht nicht darum, Menschen zu uberlisten, sondern die menschliche Angriffsflache mit derselben Sorgfalt zu vermessen wie die Netzflache in Nmap Fortgeschritten: NSE Skripte fur internes Recon im simulierten Firmenlab.

Vor jedem Versand muss das Autorisierungsdokument auflisten: erlaubte Domains, Quell-IP-Bereiche, Sendefenster, Ausschlusskriterien (C-Level, HR in arbeitsrechtlichen Verfahren, minderjahrige Praktikanten) und der Umgang mit erbeuteten Credentials. Ohne das wird das Mandat zum Coalfire-Iowa-Fall von 2019, in dem zwei Pentester wahrend eines laufenden Vertrags verhaftet wurden, weil der schriftliche Scope keinen physischen Einbruch deckte. Serioses Red Team schreibt erst personliches OPSEC, dann operatives OPSEC, und das Material in OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell greift hier direkt, weil der Operator Kundengeheimnisse durch den Engagementbogen tragt.

GoPhish ging 2016 viral und bleibt das Schweizer Taschenmesser der Simulation, weil es REST-API, Tracking-Pixel, klonbare Landingpages und CSV-Reports in einer 25 MB grossen Go-Binary liefert. Typische Architektur: dedizierter VPS mit unbenutzter IP, Domain seit mindestens 30 Tagen registriert (idealerweise ein Typosquat der Kundendomain wie rnicrosoft-login.com), SPF/DKIM/DMARC via Postfix oder SendGrid konfiguriert, Let's-Encrypt-Zertifikat auf der Landingpage. Ohne IP-Warmup stirbt die Kampagne im Microsoft Defender, bevor sie den Posteingang erreicht. Behandle die Infrastruktur wie Produktion, mit der Disziplin aus C2-Infra mit Sliver im Isolierten Lab fur Defensive Forschung Aufbauen.

Templates, die 2026 funktionieren, sind nicht mehr der nigerianische Prinz. Die Proofpoint-Top-3 des letzten Quartals: DocuSign-Signatur lauft in 24 Stunden ab, DHL-Paket im Zoll mit Gebuhr von 4,99 EUR, und Microsoft-Teams-Einladung eines echten Direktors (von LinkedIn abgegriffen) zu einem dringenden Meeting. Jedes Template muss in Outlook 2021, Gmail Web und iOS Mail identisch rendern, was Inline-Tabellen, eingebettetes CSS und Bilder auf einem reputierten CDN erfordert. Der Initial-Access-Vektor bleibt oft ein Anhang, die Abwagungen zwischen Makro, LNK und ISO sind in Initial Access Simuliert: Makros, LNK und ISO im Isolierten Windows-11-Lab aufgedroselt.

Die Landingpage ist die Stelle, an der 70 Prozent der Teams scheitern. Ein Passwort als Klartext in einem HTTP-Formular einzufangen ist Amateurniveau und ein DSGVO-Verstoss, selbst im autorisierten Scope. Das ethische Muster: Passwort clientseitig mit SHA-256 plus Engagement-Salt hashen, nur die ersten acht Hex-Zeichen des Digests zur Bestatigung speichern und sofort auf eine Schulungsseite weiterleiten, die die Simulation erklart. User-Agent, IP, Zeitstempel und Klick-zu-Submit-Differenz loggen, aber niemals den vollstandigen Credential. Diese Daten speisen den Verbesserungszyklus aus Purple Team in der Praxis: Aufbau eines Red-Blue-Feedback-Zyklus, in dem das Blue Team jeden Klick in eine Detection-Regel verwandelt.

Was niemand auf Konferenzen anspricht: die psychologische Wirkung. In einer realen Kampagne 2024 mit 4.200 Zielen gingen 11 Mitarbeiter wegen akuter Angstkrisen in Krankschreibung, nachdem sie erfuhren, dass sie 'erwischt' wurden, zwei verklagten den Arbeitgeber. Das Post-Campaign-Debrief braucht deshalb einen Arbeitspsychologen auf Abruf, eine CEO-Kommunikation am selben Tag, und die Erfolgsmetrik darf nicht die rohe Klickrate sein, sondern Quartalsreduktion mit vergleichbaren Kohorten. Operatoren mussen auch ihre eigene Identitat wahrend des Mandats schutzen, wie in Digitale Kompartimentierung: Getrennte Identitaeten ohne Metadaten zu lecken beschrieben, weil sie unweigerlich sensible Interna lernen.

Fur Teams am Anfang ist der ehrliche Weg: zuerst das interne Lab aufbauen (GoPhish plus Mailhog plus funf Testkonten), Templates gegen das eigene Outlook validieren, einen Dry-Run mit dem Security-Team des Kunden live durchspielen, und erst dann in Produktion feuern. Verdrahtet einen Kill-Switch, der die Kampagne in 60 Sekunden per API leerraumt. Dokumentiert jede Entscheidung in einem signierten Changelog, denn sechs Monate spater fragt ein Auditor, warum genau diese Person angeschrieben wurde. Takeaway: autorisiertes Phishing ist zu 20 Prozent Technik, zu 30 Prozent Papierkram und zu 50 Prozent Empathie fur den Klickenden. Ohne alle drei: nichts versenden.