In Australien ist ein 44‑jähriger Mann zu 7 Jahren und 4 Monaten Haft verurteilt worden, weil er über gefälschte WLAN-Hotspots massenhaft persönliche Daten von Flugreisenden abgegriffen hat. Der Täter setzte dabei systematisch auf sogenannte Evil‑Twin‑Angriffe, um Zugangsdaten, E‑Mails und intime Fotos von Passagieren in Flughäfen und an Bord von Flugzeugen zu stehlen.
Gefälschte WLAN-Hotspots in Flughäfen und Flugzeugen als Angriffsvektor
Der Fall flog auf, als Mitarbeitende einer australischen Fluggesellschaft im April 2024 ein verdächtiges WLAN-Netz an Bord eines Flugzeugs bemerkten. Die SSID im WLAN‑Namen ähnelte der offiziellen Bordverbindung, gehörte jedoch nicht zur Airline. Nach der Meldung an die australische Bundespolizei (AFP) wurde der damals 42‑jährige Verdächtige festgenommen.
In seinem Handgepäck fanden die Ermittler unter anderem ein Wi‑Fi Pineapple (ein professionelles Gerät für WLAN‑Sicherheitstests), einen Laptop und ein Smartphone. Eine anschließende Hausdurchsuchung zeigte, dass es sich nicht um einen Einzelfall, sondern um eine über Monate hinweg betriebene, systematische Kampagne handelte.
Der Mann hatte in den Flughäfen von Perth, Melbourne und Adelaide sowie auf zahlreichen Inlandsflügen gefälschte Access Points aufgebaut. Seine Geräte imitierten die SSIDs legitimer Netze von Flughäfen und Airlines, oft mit stärkerem Funksignal. Viele Endgeräte verbindeten sich automatisch mit diesen „Zwillingsnetzen“, ohne dass die Nutzer bewusst zustimmten.
Phishing-Portale und gezielte Ausspähung von Opfern
Nach der erfolgreichen Verbindung leitete der Täter die komplette Internetkommunikation der Opfer über seine Infrastruktur. Nutzer erhielten täuschend echt gestaltete Login-Seiten, die an herkömmliche Captive Portals öffentlicher WLANs erinnerten. Zur Freischaltung des Zugangs wurde um Anmeldung mit E‑Mail-Adresse oder Social‑Media‑Konten gebeten.
Alle eingegebenen Zugangsdaten wurden protokolliert und im Anschluss verwendet, um sich in die echten Konten der Betroffenen einzuloggen. Auf den beschlagnahmten Geräten der Ermittler fanden sich umfangreiche Datenbanken mit gestohlenen Zugangsdaten sowie tausende intime Fotos und Videos. Ermittlungen ergaben, dass der Täter insbesondere Frauenkonten ausspähte, private Konversationen las und gezielt intime Inhalte aus E‑Mails und sozialen Netzwerken herunterlud.
Spurenverwischung, Datenmanipulation und weitere unbefugte Zugriffe
Nach der ersten Durchsuchung versuchte der Beschuldigte, Beweise zu vernichten. Er löschte am Folgetag 1.752 Dateien aus einem Cloud-Speicher und unternahm den Versuch, sein Smartphone aus der Ferne zu löschen. Diese Handlungen wurden als gezielte Beweisvernichtung gewertet.
Zudem verschärfte er die Lage, indem er sich am 19. April 2024 unbefugten Zugriff auf den Firmenlaptop seines Arbeitgebers verschaffte, um Informationen über vertrauliche Gespräche zwischen Unternehmensleitung und Ermittlungsbehörden auszulesen. Dadurch kamen weitere Vorwürfe wegen Zugriffs auf Daten mit eingeschränktem Zugriff hinzu.
Im Juli 2024 wurde gegen ihn eine Vielzahl von Anklagepunkten erhoben. Er bekannte sich schuldig in 15 Fällen, darunter mehrfache unbefugte Datenzugriffe, Versuche solcher Zugriffe, Datendiebstahl, Störung elektronischer Kommunikationsmittel, Besitz von Daten zur Begehung schwerer Straftaten, Beweisvernichtung und Missachtung gerichtlicher Auflagen.
Wie ein Evil‑Twin‑Angriff funktioniert – und warum öffentliches WLAN so riskant ist
Ein Evil‑Twin‑Angriff nutzt zwei Schwachstellen gleichzeitig: das Komfortverhalten von Nutzern und die automatische Verbindungslogik moderner Endgeräte. Smartphones und Laptops merken sich bekannte Netzwerknamen (SSIDs) und stellen oft ohne Rückfrage eine Verbindung her, wenn ein Netz mit gleicher SSID und starkem Signal auftaucht. Ein Angreifer, der ein solches Netz imitiert, wird so leicht zum „bevorzugten“ Hotspot.
Hinzu kommt, dass viele Menschen Captive Portals von Hotspots gewohnt sind und bereitwillig Zugangsdaten auf der ersten eingeblendeten Seite eintippen. Laut aktuellen Ausgaben des Verizon Data Breach Investigations Report (DBIR) sowie der ENISA Threat Landscape zählt Phishing weiterhin zu den wichtigsten Einfallstoren für Kontenübernahmen; ein erheblicher Teil erfolgreicher Angriffe beginnt mit kompromittierten Zugangsdaten.
Selbst HTTPS schützt in solchen Szenarien nur bedingt: Wenn ein Opfer seine echten Login-Daten auf einer professionell gefälschten Seite eintippt, ist der Angriff bereits erfolgreich, bevor eine Ende-zu-Ende-Verschlüsselung überhaupt greifen kann. Im vorliegenden Fall vertrauten die Betroffenen dem vermeintlich offiziellen Flughafen- oder Bord-WLAN – ein klassischer Vertrauensmissbrauch.
Best Practices: So schützen Sie sich in öffentlichen WLANs vor Evil‑Twin‑Angriffen
Die australische Bundespolizei weist darauf hin, dass legitime kostenlose WLANs selten einen Login mit E‑Mail oder Social‑Media‑Account verlangen. Wird nach dem Passwort Ihrer E‑Mail, Ihres Facebook‑ oder Instagram‑Kontos gefragt, ist höchste Vorsicht geboten. Einige zentrale Schutzmaßnahmen:
Keine sensiblen Logins im öffentlichen WLAN. Für Online-Banking, Firmenkonten und andere kritische Dienste sollte bevorzugt Mobilfunkdaten oder ein vertrauenswürdiger VPN‑Dienst genutzt werden.
Automatische WLAN-Verbindungen deaktivieren. Schalten Sie Optionen wie „automatisch verbinden“ oder „mit offenen Netzwerken automatisch verbinden“ ab, um Evil‑Twin‑Netze zu vermeiden.
SSID immer beim Personal verifizieren. Fragen Sie in Flughäfen, Hotels und Cafés gezielt nach der exakten Schreibweise des WLAN-Namens und misstrauen Sie ähnlich klingenden Varianten.
Adressleiste prüfen. Authentische Captive Portals nutzen in der Regel Domains der Betreiber oder des Flughafens und setzen HTTPS ein. Unklare Domains oder Schreibfehler sind Warnsignale.
Passwortmanager und Multi-Faktor-Authentifizierung nutzen. Passwortmanager erkennen verdächtige Domains oft daran, dass sie keine gespeicherten Logins anbieten. 2FA (z. B. App‑Token oder Hardware‑Schlüssel) erschwert die Übernahme eines Kontos selbst bei bekanntem Passwort erheblich.
Alte WLAN-Verbindungen entfernen. Löschen Sie nicht mehr benötigte gespeicherte Netzwerke, um automatischen Verbindungen zu gefälschten Hotspots mit gleicher SSID vorzubeugen.
Der australische Fall macht deutlich, dass Fake‑WLANs in stark frequentierten Umgebungen wie Flughäfen, Bahnhöfen oder Messen weiterhin ein wirksames Werkzeug für Cyberkriminelle sind. Wer öffentliche WLANs nutzt, sollte sich der Risiken bewusst sein, Login-Aufforderungen kritisch prüfen und grundlegende Cyber-Hygiene anwenden. Unternehmen mit viel Publikumsverkehr – insbesondere im Reise- und Hospitality‑Sektor – sollten ihre Kunden aktiv über sichere WLAN-Nutzung informieren und entsprechende Szenarien fest in Awareness‑Programme und Schulungen zur Cybersicherheit integrieren.
