Was ist Evil Twin Attack?
Warum gefälschte WLANs gefährlich sind, obwohl sie wie legitime Netzwerke wirken
Definition
Eine Evil Twin Attack ist eine Angriffsmethode, bei der ein gefälschtes WLAN oder Netzwerk aufgebaut wird, das einem echten Zugang täuschend ähnlich sieht, um Nutzer abzufangen.
Ein Evil-Twin-Angriff ist eine Cyberattacke, bei der ein Angreifer einen gefälschten WLAN-Zugangspunkt einrichtet, der ein legitimes Netzwerk imitiert. Das gefälschte Netzwerk trägt denselben Namen (SSID) und oft dieselbe MAC-Adresse wie das echte. Verbindet sich ein Opfer mit dem falschen Netzwerk, kann der Angreifer den gesamten Datenverkehr abfangen, mitlesen und manipulieren, ähnlich wie bei einem Phishing-Angriff, nur auf Netzwerkebene. Für Krypto-Nutzer ist das besonders gefährlich: Transaktionen auf der Blockchain sind irreversibel, es gibt keine Bank, die eine Rückbuchung veranlasst.
Wie der Angriff technisch funktioniert
Der Angreifer scannt nach WLAN-Netzwerken in der Umgebung (z.B. "Starbucks_WiFi", "Hotel_Gast", "Flughafen_Frei"). Mit einem Laptop und einem WLAN-Adapter richtet er einen Zugangspunkt mit identischem Namen und stärkerem Signal ein. Optional sendet er Deauthentication-Pakete, die Nutzer vom echten Netzwerk trennen. Die Geräte verbinden sich automatisch mit dem stärkeren Signal, also dem gefälschten Netzwerk. Ab diesem Punkt fließt der gesamte Datenverkehr über den Angreifer (Man-in-the-Middle). Der Angreifer kann eine gefälschte Login-Seite einblenden (Captive Portal), den DNS manipulieren, um Krypto-Domains auf Phishing-Seiten umzuleiten, oder SSL-Stripping einsetzen, um verschlüsselte Verbindungen herabzustufen.
| Tool | Zweck |
|---|---|
| WiFi Pineapple (Hak5) | Automatisiertes Evil-Twin-Gerät (~100-200 USD) |
| Aircrack-ng | Paketerfassung und Deauth-Angriffe |
| Bettercap | MitM-Angriffe und SSL-Stripping |
| Fluxion | Automatisiertes Evil Twin + Captive Portal |
| Wireshark | Netzwerk-Analyse und Paketinspektion |
Warum Krypto-Nutzer besonders gefährdet sind
Ein Angreifer kann Börsen-Logins abfangen, wenn das Opfer sich über das gefälschte Netzwerk bei Binance, Kraken oder Coinbase anmeldet. Über DNS-Spoofing werden Domains wie app.uniswap.org auf Phishing-Klone umgeleitet. Seed Phrases, die in Browser-basierte Wallets eingegeben werden, können abgefangen werden. Eingefügtes JavaScript kann kopierte Wallet-Adressen in der Zwischenablage ersetzen. Krypto-Konferenzen (Consensus, ETHDenver) sind Hotspots für solche Angriffe, weil viele hochwertige Ziele an einem Ort zusammenkommen. Auf der DEF CON-Konferenz zeigt die "Wall of Sheep" jedes Jahr abgefangene Zugangsdaten, oft von Teilnehmern, die sich über offene WLAN-Netzwerke angemeldet haben.
Evil Twin vs. Man-in-the-Middle
Ein Evil-Twin-Angriff ist eine Unterart des Man-in-the-Middle-Angriffs (MitM). Jeder Evil Twin ist ein MitM, aber nicht jeder MitM ist ein Evil Twin. Andere MitM-Methoden sind ARP-Spoofing (Manipulation der ARP-Tabellen im lokalen Netzwerk), DNS-Poisoning (gefälschte DNS-Antworten) und BGP-Hijacking (Umleitung von Internetverkehr auf Routing-Ebene). Der Evil Twin operiert auf der physischen WLAN-Ebene und ist besonders effektiv, weil er für das Opfer unsichtbar ist: Das Gerät sieht ein bekanntes Netzwerk und verbindet sich automatisch. Verwandte Angriffsvektoren sind Phishing (gefälschte E-Mails und Webseiten) und NFT-Scam-Airdrops, bei denen Wallet-Approvals gestohlen werden.
Bekannte Vorfälle und Statistiken
Konkret dokumentierte Krypto-Diebstähle über Evil-Twin-Angriffe sind selten in öffentlichen Berichten, weil Opfer den genauen Angriffsvektor oft nicht identifizieren können. Sicherheitsfirmen wie Kaspersky und CrowdStrike bestätigen jedoch, dass öffentliches WLAN ein bekannter Vektor für Krypto-Diebstahl ist. 2018 enttarnte der niederländische Geheimdienst (MIVD) Agenten des russischen Militärgeheimdienstes (GRU) bei einem Evil-Twin-Angriff auf die OPCW in Den Haag. Das FBI warnte 2023 öffentlich vor der Nutzung öffentlicher WLAN-Netzwerke für Finanztransaktionen und nannte Evil-Twin-Angriffe explizit. Die WiFi Pineapple von Hak5, das meistverkaufte Evil-Twin-Tool, hat sich zehntausendfach verkauft.
Schutzmaßnahmen und rechtliche Lage
Der wichtigste Schutz ist ein VPN: Es verschlüsselt den gesamten Datenverkehr zwischen deinem Gerät und dem VPN-Server. Selbst in einem kompromittierten Netzwerk sieht der Angreifer nur verschlüsselte Daten. Nutze niemals öffentliches WLAN für Börsen-Zugriffe oder Wallet-Transaktionen. Bevorzuge mobile Daten (4G/5G). Deaktiviere die automatische WLAN-Verbindung auf deinem Gerät. Verwende eine Hardware-Wallet wie Ledger oder BitBox: Die Signierung passiert auf dem Gerät, nicht im Browser. Aktiviere Zwei-Faktor-Authentifizierung per Authenticator-App (nicht SMS). In Deutschland ist ein Evil-Twin-Angriff nach §202a StGB (Ausspähen von Daten, bis 3 Jahre Haft), §202b StGB (Abfangen von Daten, bis 2 Jahre) und §202c StGB (Vorbereiten des Ausspähens) strafbar. Bereits der Besitz von Hacking-Tools mit Angriffsabsicht ist eine Straftat.
Nutze NIEMALS öffentliches WLAN für Krypto-Transaktionen, auch nicht mit VPN, wenn du es vermeiden kannst. Mobile Daten sind sicherer. Wenn du auf Reisen bist und Krypto nutzen musst: VPN aktivieren, nur HTTPS-Seiten aufrufen und eine Hardware-Wallet für Transaktionen verwenden. Deine Seed Phrase gehört nie in einen Browser.
Wie erkenne ich einen Evil-Twin-Angriff?
Leider kaum: Das gefälschte Netzwerk sieht identisch aus wie das echte. Warnsignale sind: doppelte WLAN-Namen in der Liste, unerwartete Login-Seiten nach der Verbindung, Zertifikatswarnungen im Browser oder ein plötzlich stärkeres Signal. Frage im Zweifel das Personal nach dem genauen Netzwerknamen und -passwort.
Schützt ein VPN vor Evil-Twin-Angriffen?
Ja, größtenteils. Ein VPN verschlüsselt deinen gesamten Datenverkehr, sodass der Angreifer nur verschlüsselte Daten sieht. Aber: Wenn du dich VOR dem VPN-Start über ein Captive Portal anmeldest (z.B. mit E-Mail-Adresse), sind diese Daten ungeschützt. Aktiviere dein VPN immer vor der ersten Verbindung.
Ist ein Evil-Twin-Angriff in Deutschland strafbar?
Ja. Nach §202a StGB (Ausspähen von Daten) drohen bis zu 3 Jahre Haft, nach §202b StGB (Abfangen von Daten) bis zu 2 Jahre. Sogar das Vorbereiten eines Angriffs (§202c StGB, Besitz von Hacking-Tools mit Angriffsabsicht) ist strafbar. Zusätzlich können DSGVO-Bußgelder verhängt werden.
Verwandte Begriffe
Man-in-the-Middle
Ein Man-in-the-Middle-Angriff (MitM) ist eine Cyberattacke, bei der sich ein Angreifer unbemerkt zwi...
Phishing
Phishing ist eine Betrugsmasche, bei der Angreifer Nutzer über gefälschte Websites, Nachrichten oder...
VPN
Ein VPN ist ein Virtual Private Network und beschreibt eine verschluesselte Verbindung, über die Dat...
Über die Autorin
Dr. Stephanie Morgenroth
Steffi ist promovierte Medizinerin, Krypto-Investorin seit 2021 und erreicht mit MissCrypto über 100.000 Menschen auf Social Media. Sie macht komplexe Themen wie Bitcoin, DeFi und Krypto-Steuern verständlich, ehrlich, unabhängig und ohne Hype.
Über Steffi →Risikohinweis: Meine Inhalte dienen ausschließlich zur Information und stellen keine Anlageberatung dar.
Diese Seite kann Affiliate-Links enthalten. Bei einem Kauf über diese Links erhalte ich eine Provision — du unterstützt meinen Kanal ohne Mehrkosten. Danke! ❤️