Durchführung eines integrierten Anti-Phishing-Trainings · Hamburg, 10.02.2016 Integriertes Training Einführung • Phishing = Teilbereich des Social Engineering • Ausnutzung

Fakultät Informatik Professur Datenschutz und Datensicherheit

Durchführung eines integrierten Anti-Phishing-Trainings

23. DFN-Konferenz "Sicherheit in vernetzten Systemen"

Referent: Stephan Escher

Hamburg, 10.02.2016 Integriertes Training

Inhaltsübersicht

1. Einführung

2. Integriertes Training

3. Umsetzung einer Trainingskampagne

4. Ergebnisse und Auswertung

5. Zusammenfassung und Ausblick

Folie 2 von 36


Einführung

• Phishing = Teilbereich des Social Engineering

• Ausnutzung sozialer Interaktion

• Nachahmung vertrauensvoller digitaler Kommunikation

• Ziel: Informationsdiebstahl

Folie 3 von 19

ww

w.se

c ur ity ca

rt oon

. com


Einführung

Folie 4 von 36

• 1 – Informationsbeschaffung

z.B. Webauftritte von Firmen, Soziale Netzwerke, ...


Einführung

Folie 4 von 36

• 2 – Trägerangriff

Kommunikationskanal: E-Mail, SMS, VOIP, ... Vortäuschen einer vertrauten Identität Kontext verleitet Ziel zu Interaktion


Einführung

Folie 4 von 36

• 3 – Weiterleitung auf manipulierte Phishing-Webseite

• 3 – Installation von Schadsoftware durch Öffnen des Anhangs oder Drive-By-Downloads


Einführung

Folie 4 von 36

• 4 – Informationsdiebstahl durch Mithilfe des Nutzers oder Schadsoftware

Einsatz: Wirtschaftsspionage, Identitätsdiebstahl,... günstige Einstiegsmethode für APT Attacken Auswirkung: 2013 - 5,9Mrd. US$ weltweit (RSA)


Einführung

Ursachen

Fehlendes Risikobewusstsein Visuelle Täuschung Begrenzte Aufmerksamkeit

• Technische Maßnahmen ungenügend

• Sensibilisierung der Nutzer wichtige Massnahme

Problem: Motivation der Nutzer im Bereich der IT-Sicherheit

Folie 5 von 36


Inhaltsübersicht

1. Einführung





Folie 6 von 36


Integriertes Training

Ziel: Erhöhung der Motivation und Interesse an Trainingsmaterial

• Konfrontation des Nutzers mit Phishing-Angriff während normalem Arbeitsablauf

• Sofortige Intervention und Training bei Fehlverhalten

Folie 7 von 36

• 1 – Senden des Trägerangriffes

Simuliert oder Real Meist simulierter E-Mail Angriff


Integriertes Training - Ablauf

Folie 8 von 36

• 1 – Senden des Trägerangriffes - Simulation+ Training periodisch durchführbar+ Zeitlich festlegbar + Angriffe anpassbar/erweiterbar - Arbeitsaufwand bei Erstellung der Materialien



Folie 8 von 36



Folie 8 von 36

• 1 – Senden des Trägerangriffes

• 2 – Intervention nach Interaktion (z.B. Link-Klick)

• 3 – Erweiterter Angriff mit Phishing-Webseite

Simuliert oder Real



Folie 8 von 36



Folie 8 von 36

• 3 – Erweiterter Angriff mit Phishing-Webseite

• 4 – Intervention nach Eingabe sensibler Daten


Integriertes Training - Intervention

• Arbeitsablauf des Nutzers klar unterbrechen

• Effektive und verständliche Hinweise geben

• Keine Angst vor digitaler Kommunikation erzeugen

• Kein Handlungsbedarf ausgehend von simuliertem

Angriff

Folie 9 von 36



• 3 Themengebiete: Hintergrundwissen, Hinweise zur

Verhinderung, Aktive Mithilfe

• Hinweise zur Verhinderung → Erkennungshinweise vs.

Verhaltensregeln

Erkennungshinweise häufig nicht eindeutig und ausnutzbar

Verhaltensregeln zumindest für Sensibilisierung des Trägerangriffes sinnvoller

Folie 10 von 36



• Inhalt auf vorangegangenen Angriffsvektor beziehen

• Multimediale Elemente helfen Sachverhalt interessanter zu gestalten

Folie 9 von 36

P. Ku

mar a

gur u

et a

l ., Teac h

i ng

John

ny N

ot to

Fall fo

r Ph

i sh, 2

01

0

Hamburg, 10.02.2016 Integriertes Training Folie 10 von 36

htt p

s :/ /edu

catio

n.a

pw

g. o

r g/ e

duc a

t ion- re

dir e

c t- pr o

gra

m



Folie 13 von 36

• 5 – Vollständiger Test des Netzwerkes ohne Training

Weiterleitung auf Fehlerseite oder Originalseite


Inhaltsübersicht

1. Einführung





Folie 14 von 36


Umsetzung - Angriff

• Simulation eines „außenstehenden“ Angreifers

• Zielgruppe: 4348 Mitarbeiter der TU Dresden

→ Crawling aus TU Telefonverzeichnis

• Spear-Phishing mittels E-Mail, Intervention direkt nach Fehlverhalten

Folie 15 von 36


Umsetzung - Angriff

• Integrierte Phishing-Elemente

Link → tu-dresdn.de, versteckt hinter HTML Anchor Tags

Anhang → HTML Format Logo → externer Inhalt (Web Bug)

Folie 16 von 36


Umsetzung - Angriff

Folie 12 von 36

Hamburg, 11.03.2015

Umsetzung - Warnseite

Erläuterung der Situation Hinweis auf Forschungsarbeit Button “Was bedeutet das” - Messung der Motivation

Folie 18 von 36Integriertes Training

Hamburg, 11.03.2015

Umsetzung - Trainingsseite

Erläuterung der Situation 3 Themengebiete: Verstehen, Vermeiden, Helfen

Folie 19 von 36Integriertes Training


Umsetzung - Trainingswebseite

• 2.1 Verstehen

Erläuterung des Phishings anhand einer Story-basierten Timeline

Gibt Begründung warum Nutzer etwas verändern sollte

Folie 20 von 36

Hamburg, 10.02.2016


Folie 21 von 36

• 2.2 Vermeiden

6 Umgangsregeln für E-Mail Kommunikation Button „Tipps vom Prof(i)“ → weitere Hilfestellungen




• 2.3 Helfen

Nutzer Möglichkeit aufweisen aktiv gegen Phishing mitzuwirken

Kontaktstellen, Fragenkatalog

Folie 22 von 36


Umsetzung - Durchführung

• Grundlage: SPT (GPL), Entwicklung eingestellt

• Erweiterungen u.a. Anonymisierung der

Kampagnendaten, Responsive Design, Phishing-

Anhang/Web Bug, Statistiken, ...

• Server im internen Netzwerk, Versand über lokalen

MTA (Postfix)


Umsetzung - Durchführung

• Erfasste Informationen:

Zeitpunkt des Absendens der E-Mail Interaktionen des Nutzers Zeitpunkt dieser Aktionen Systeminformationen (Browser, -Plugins, BS,...)

• Anonymisiert gespeichert

• Response-ID enthielt Fakultät, Geschlecht, Fachrichtung

Folie 24 von 36


Inhaltsübersicht

1. Einführung





Folie 25 von 36

Hamburg, 10.02.2016

Ergebnisse und Auswertung

• > ¼ der Mitarbeiter (28,5%) Opfer des Angriffes

(1241/4348)

• 16,4% (711) Mitarbeiter luden das Logo nach

Folie 26 von 36

Beides (186)

Anhang (310)

Link-Klick (1117)

0 5 10 15 20 25 30

4,3

7,1

25,7

Anzahl in %


• Keine essentiellen Reaktionsunterschiede bei der

Betrachtung von Geschlecht und Fachrichtungen

Hamburg, 10.02.2016 Folie 27 von 36

Hamburg, 10.02.2016


• Keine essentiellen Reaktionsunterschiede bei der

Betrachtung von Geschlecht und Fachrichtungen

Folie 20 von 36Folie 27 von 36


• Drastische Ergebnisse bei zeitlicher Betrachtung

10 Min → 127 Klicks / 57 Anhänge 1 h → 471 Klicks / 162 Anhänge 2 h → 680 Klicks / 204 Anhänge

Hamburg, 10.02.2016


• Verwendete Software:

Windows (83%), Firefox (69%) > 90% der Browser erlaubten Ausführung von JS

und Cookies

• Betrachtung des Schadsoftwarerisikos (veraltete Softwareversionen)

90,7% Java-Plugins 10,8% Flash-Plugins 18,6% Browser

Folie 22 von 36

Hamburg, 10.02.2016


• Trainingsergebnis nur mäßig zufriedenstellend

→ nur die Hälfte der Opfer (50,4%) war motiviert mehr über Phishing zu erfahren (626/1241)

Folie 23 von 36Folie 30 von 36

Hamburg, 10.02.2016


• Reaktionen bei Erkennung des Angriffes unterschiedlich

Meldung an Informationssicherheit, Administratoren oder eigenen Lehrstuhlmitarbeitern

Kein konkreter Reaktionsplan für Eintreffen eines realen Vorfalls festgestellt

• Beschwerden über Verlust von Arbeitszeit→ auch ohne Informationsdiebstahl können Schäden entstehen

→ Vorbeugen durch Reaktionsplan / zentrales Meldesystem

Integriertes Training Folie 31 von 36

Hamburg, 10.02.2016


• Insgesamt vorwiegend positive Resonanz der Mitarbeiter

• über 70% haben aus Training etwas gelernt, fanden Art des Trainings gut und Verhaltensregeln durchsetzbar

• Anfragen bei Informationssicherheit, Service Desk vorwiegend Nachfrage ob E-Mail Phishing-Angriff ist

→ Erkannt: gefälschte Domain, nicht signiert Thematisierung des Kontextes der Nachricht



Inhaltsübersicht

1. Einführung





Folie 33 von 36

Hamburg, 10.02.2016

Zusammenfassung & Ausblick

• Gezielte Angriffe führen sehr schnell und effektiv zum Ziel

• Geschlecht, technischer Hintergrund zeigten keine wesentlichen Unterschiede im Umgang mit gezielten Phishing Angriffen

• Kombination aus Test / Training suboptimal


Hamburg, 10.02.2016

Zusammenfassung & Ausblick

• Motivationsfaktor nur mäßig, aber allgemein große Resonanz/Aufmerksamkeit auf Kampagne

→ für weitere Schulungsmaßnahmen nutzbar→ weitere Untersuchungen des Trainingsmaterials

• Langzeitstudien über verändertes Nutzerverhalten

• Aufbau eines Reaktionsplans für schnelle und organisierte Reaktion

→ schulen des Plans bspw. mittels integriertem Training


Hamburg, 10.02.2016 Integriertes Training Folie 36 von 36

Vielen Dank für Ihre Aufmerksamkeit

Durchführung eines integrierten Anti-Phishing-Trainings · Hamburg, 10.02.2016 Integriertes Training Einführung • Phishing = Teilbereich des Social Engineering • Ausnutzung

Documents