Fakultät Informatik Professur Datenschutz und Datensicherheit
Durchführung eines integrierten Anti-Phishing-Trainings
64. DFN-Betriebstagung – AK Mail
Referent: Stephan Escher
Berlin, 03.03.2016 Integriertes Training
Inhaltsübersicht
1. Einführung
2. Integriertes Training
3. Umsetzung einer Trainingskampagne
4. Ergebnisse und Auswertung
5. Zusammenfassung und Ausblick
Folie 2 von 36
Berlin, 03.03.2016 Integriertes Training
Einführung
• Phishing = Teilbereich des Social Engineering
• Ausnutzung sozialer Interaktion
• Nachahmung vertrauensvoller digitaler Kommunikation
• Ziel: Informationsdiebstahl
Folie 3 von 19
ww
w.s ec u
r ity ca rt oon. co
m
Berlin, 03.03.2016 Integriertes Training
Einführung
Folie 4 von 36
• 1 – Informationsbeschaffung
z.B. Webauftritte von Firmen, Soziale Netzwerke, ...
Berlin, 03.03.2016 Integriertes Training
Einführung
Folie 4 von 36
• 2 – Trägerangriff
Kommunikationskanal: E-Mail, SMS, VOIP, ... Vortäuschen einer vertrauten Identität Kontext verleitet Ziel zu Interaktion
Berlin, 03.03.2016 Integriertes Training
Einführung
Folie 4 von 36
• 3 – Weiterleitung auf manipulierte Phishing-Webseite
• 3 – Installation von Schadsoftware durch Öffnen des Anhangs oder Drive-By-Downloads
Berlin, 03.03.2016 Integriertes Training
Einführung
Folie 4 von 36
• 4 – Informationsdiebstahl durch Mithilfe des Nutzers oder Schadsoftware
Einsatz: Wirtschaftsspionage, Identitätsdiebstahl,... günstige Einstiegsmethode für APT Attacken Auswirkung: 2013 - 5,9Mrd. US$ weltweit (RSA)
Berlin, 03.03.2016 Integriertes Training
Einführung
Ursachen
Fehlendes Risikobewusstsein Visuelle Täuschung Begrenzte Aufmerksamkeit
• Technische Maßnahmen ungenügend
• Sensibilisierung der Nutzer wichtige Massnahme
Problem: Motivation der Nutzer im Bereich der IT-Sicherheit
Folie 5 von 36
Berlin, 03.03.2016 Integriertes Training
Inhaltsübersicht
1. Einführung
2. Integriertes Training
3. Umsetzung einer Trainingskampagne
4. Ergebnisse und Auswertung
5. Zusammenfassung und Ausblick
Folie 6 von 36
Berlin, 03.03.2016 Integriertes Training
Integriertes Training
Ziel: Erhöhung der Motivation und Interesse an Trainingsmaterial
• Konfrontation des Nutzers mit Phishing-Angriff während normalem Arbeitsablauf
• Sofortige Intervention und Training bei Fehlverhalten
Folie 7 von 36
• 1 – Senden des Trägerangriffes
Simuliert oder Real Meist simulierter E-Mail Angriff
Berlin, 03.03.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 8 von 36
• 1 – Senden des Trägerangriffes - Simulation+ Training periodisch durchführbar+ Zeitlich festlegbar + Angriffe anpassbar/erweiterbar - Arbeitsaufwand bei Erstellung der Materialien
Berlin, 03.03.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 8 von 36
Berlin, 03.03.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 8 von 36
• 1 – Senden des Trägerangriffes
• 2 – Intervention nach Interaktion (z.B. Link-Klick)
• 3 – Erweiterter Angriff mit Phishing-Webseite
Simuliert oder Real
Berlin, 03.03.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 8 von 36
Berlin, 03.03.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 8 von 36
• 3 – Erweiterter Angriff mit Phishing-Webseite
• 4 – Intervention nach Eingabe sensibler Daten
Berlin, 03.03.2016 Integriertes Training
Integriertes Training - Intervention
• Arbeitsablauf des Nutzers klar unterbrechen
• Effektive und verständliche Hinweise geben
• Keine Angst vor digitaler Kommunikation erzeugen
• Kein Handlungsbedarf ausgehend von simuliertem
Angriff
Folie 9 von 36
Berlin, 03.03.2016 Integriertes Training
Integriertes Training - Intervention
• 3 Themengebiete: Hintergrundwissen, Hinweise zur
Verhinderung, Aktive Mithilfe
• Hinweise zur Verhinderung Erkennungshinweise vs. →
Verhaltensregeln
Erkennungshinweise häufig nicht eindeutig und ausnutzbar
Verhaltensregeln zumindest für Sensibilisierung des Trägerangriffes sinnvoller
Folie 10 von 36
Integriertes Training
Integriertes Training - Intervention
• Inhalt auf vorangegangenen Angriffsvektor beziehen
• Multimediale Elemente helfen Sachverhalt interessanter zu gestalten
Folie 9 von 36
P. Kum
ar agur u
et a l., Te ac hi n
g J o
hnny N
ot to
F all for Ph
is h, 2
010
Berlin, 03.03.2016 Integriertes Training Folie 10 von 36
htt p
s :/ /e duca ti o
n.a p
wg.o
rg/e d
uca tio
n-re d
ire ct -pro
gr am
Berlin, 03.03.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 13 von 36
• 5 – Vollständiger Test des Netzwerkes ohne Training
Weiterleitung auf Fehlerseite oder Originalseite
Berlin, 03.03.2016 Integriertes Training
Inhaltsübersicht
1. Einführung
2. Integriertes Training
3. Umsetzung einer Trainingskampagne
4. Ergebnisse und Auswertung
5. Zusammenfassung und Ausblick
Folie 14 von 36
Berlin, 03.03.2016 Integriertes Training
Umsetzung - Angriff
• Simulation eines „außenstehenden“ Angreifers
• Zielgruppe: 4348 Mitarbeiter der TU Dresden
→ Crawling aus TU Telefonverzeichnis
• Spear-Phishing mittels E-Mail, Intervention direkt nach Fehlverhalten
Folie 15 von 36
Berlin, 03.03.2016 Integriertes Training
Umsetzung - Angriff
• Integrierte Phishing-Elemente
Link tu-dres→ dn.de, versteckt hinter HTML Anchor Tags
Anhang HTML Format → Logo externer Inhalt (Web Bug) →
Folie 16 von 36
Berlin, 03.03.2016 Integriertes Training
Umsetzung - Angriff
Folie 12 von 36
Hamburg, 11.03.2015
Umsetzung - Warnseite
Erläuterung der Situation Hinweis auf Forschungsarbeit Button “Was bedeutet das” - Messung der Motivation
Folie 18 von 36Integriertes Training
Hamburg, 11.03.2015
Umsetzung - Trainingsseite
Erläuterung der Situation 3 Themengebiete: Verstehen, Vermeiden, Helfen
Folie 19 von 36Integriertes Training
Berlin, 03.03.2016 Integriertes Training
Umsetzung - Trainingswebseite
• 2.1 Verstehen
Erläuterung des Phishings anhand einer Story-basierten Timeline
Gibt Begründung warum Nutzer etwas verändern sollte
Folie 20 von 36
Berlin, 03.03.2016
Umsetzung - Trainingswebseite
Folie 21 von 36
• 2.2 Vermeiden
6 Umgangsregeln für E-Mail Kommunikation Button „Tipps vom Prof(i)“ weitere Hilfestellungen →
Integriertes Training
Berlin, 03.03.2016 Integriertes Training
Umsetzung - Trainingswebseite
• 2.3 Helfen
Nutzer Möglichkeit aufweisen aktiv gegen Phishing mitzuwirken
Kontaktstellen, Fragenkatalog
Folie 22 von 36
Berlin, 03.03.2016 Integriertes Training
Umsetzung - Durchführung
• Grundlage: SPT (GPL), Entwicklung eingestellt
• Erweiterungen u.a. Anonymisierung der
Kampagnendaten, Responsive Design, Phishing-
Anhang/Web Bug, Statistiken, ...
• Server im internen Netzwerk, Versand über lokalen
MTA (Postfix)
Berlin, 03.03.2016 Integriertes Training
Umsetzung - Durchführung
• Erfasste Informationen:
Zeitpunkt des Absendens der E-Mail Interaktionen des Nutzers Zeitpunkt dieser Aktionen Systeminformationen (Browser, -Plugins, BS,...)
• Anonymisiert gespeichert
• Response-ID enthielt Fakultät, Geschlecht, Fachrichtung
Folie 24 von 36
Berlin, 03.03.2016 Integriertes Training
Inhaltsübersicht
1. Einführung
2. Integriertes Training
3. Umsetzung einer Trainingskampagne
4. Ergebnisse und Auswertung
5. Zusammenfassung und Ausblick
Folie 25 von 36
Berlin, 03.03.2016
Ergebnisse und Auswertung
• > ¼ der Mitarbeiter (28,5%) Opfer des Angriffes
(1241/4348)
• 16,4% (711) Mitarbeiter luden das Logo nach
Folie 26 von 36
Beides (186)
Anhang (310)
Link-Klick (1117)
0 5 10 15 20 25 30
4.3
7.1
25.7
Anzahl in %
Ergebnisse und Auswertung
• Keine essentiellen Reaktionsunterschiede bei der
Betrachtung von Geschlecht und Fachrichtungen
Berlin, 03.03.2016 Folie 27 von 36
Berlin, 03.03.2016
Ergebnisse und Auswertung
• Keine essentiellen Reaktionsunterschiede bei der
Betrachtung von Geschlecht und Fachrichtungen
Folie 20 von 36Folie 27 von 36
Ergebnisse und Auswertung
• Drastische Ergebnisse bei zeitlicher Betrachtung
10 Min 127 Klicks / 57 Anhänge→ 1 h 471 Klicks / 162 Anhänge→ 2 h 680 Klicks / 204 Anhänge→
Berlin, 03.03.2016
Ergebnisse und Auswertung
• Verwendete Software:
Windows (83%), Firefox (69%) > 90% der Browser erlaubten Ausführung von
JS und Cookies
• Betrachtung des Schadsoftwarerisikos (veraltete Softwareversionen)
90,7% Java-Plugins 10,8% Flash-Plugins 18,6% Browser
Folie 22 von 36
Berlin, 03.03.2016
Ergebnisse und Auswertung
• Trainingsergebnis nur mäßig zufriedenstellend
→ nur die Hälfte der Opfer (50,4%) war motiviert mehr über Phishing zu erfahren (626/1241)
Folie 23 von 36Folie 30 von 36
Berlin, 03.03.2016
Ergebnisse und Auswertung
• Reaktionen bei Erkennung des Angriffes unterschiedlich
Meldung an Informationssicherheit, Administratoren oder eigenen Lehrstuhlmitarbeitern
Kein konkreter Reaktionsplan für Eintreffen eines realen Vorfalls festgestellt
• Beschwerden über Verlust von Arbeitszeit → auch ohne Informationsdiebstahl können Schäden
entstehen
→ Vorbeugen durch Reaktionsplan / zentrales Meldesystem
Integriertes Training Folie 31 von 36
Berlin, 03.03.2016
Ergebnisse und Auswertung
• Insgesamt vorwiegend positive Resonanz der Mitarbeiter
• über 70% haben aus Training etwas gelernt, fanden Art des Trainings gut und Verhaltensregeln durchsetzbar
• Anfragen bei Informationssicherheit, Service Desk vorwiegend Nachfrage ob E-Mail Phishing-Angriff ist
→ Erkannt: gefälschte Domain, nicht signiert Thematisierung des Kontextes der Nachricht
Integriertes Training Folie 32 von 36
Berlin, 03.03.2016 Integriertes Training
Inhaltsübersicht
1. Einführung
2. Integriertes Training
3. Umsetzung einer Trainingskampagne
4. Ergebnisse und Auswertung
5. Zusammenfassung und Ausblick
Folie 33 von 36
Berlin, 03.03.2016
Zusammenfassung & Ausblick
• Gezielte Angriffe führen sehr schnell und effektiv zum Ziel
• Geschlecht, technischer Hintergrund zeigten keine wesentlichen Unterschiede im Umgang mit gezielten Phishing Angriffen
• Motivationsfaktor nur mäßig, aber allgemein große Resonanz/Aufmerksamkeit auf Kampagne
→ für weitere Schulungsmaßnahmen nutzbar → weitere Untersuchungen des Trainingsmaterials
Integriertes Training Folie 34 von 36
Berlin, 03.03.2016
Zusammenfassung & Ausblick
• Interesse an IT-Sicherheitsveranstaltungen gestiegen
• Anmeldung TU-Zertifikate 1200 auf 3500→
• Langzeitstudien über verändertes Nutzerverhalten
• Aufbau eines Reaktionsplans für schnelle und organisierte Reaktion
→ schulen des Plans bspw. mittels integriertem Training
Integriertes Training Folie 35 von 36
Berlin, 03.03.2016 Integriertes Training Folie 36 von 36
Vielen Dank für Ihre Aufmerksamkeit
Berlin, 03.03.2016
Fehlerbetrachtung
• 272 Mails unzustellbar, 66 Abwesenheitsnotiz konnten →
im Nachhinein nicht entfernt werden
• Interessens-Klicks nicht auszuschließen schnelle →
Verbreitung der Kampagne
• Zuordnung des Geschlechts abhängig von Richtigkeit
des Namensverzeichnisses
Berlin, 03.03.2016
Fehlerbetrachtung
• Öffnung des Anhangs möglicherweise durch HTML
Format verfälscht
• Kombination aus Test / Training suboptimal
• Standort des Servers im internen Netzwerk
Headerinformationen der E-Mail→
Berlin, 03.03.2016
Umsetzung - Informationserfassung
Berlin, 03.03.2016
Umsetzung - Trainingswebseite
• Fragenkatalog
- 7 Fragen zur Bewertung des Trainings- Absenden nur einmal pro ID möglich Fragen
Haben Sie schon vorher von Phishing gehört?
Finden Sie die E-Mail im Nachhinein ungewöhnlich?
Haben Sie aus diesem Training etwas gelernt?
Finden Sie die 6 Regeln durchsetzbar?
Haben Sie schon einmal ein Sicherheitstraining im Bereich Phishing absolviert?
Wie finden Sie die Art dieses Security Trainings?
Wie effizient halten Sie Firewall, Antivirensystem usw. um vor Phishing zu schützen?
Berlin, 03.03.2016
Umsetzung - Trainingswebseite
6 Verhaltensregeln Weitere Informationen
Vertrauen Sie nicht blind auf E-Mails Hinweis auf TU-Zertifikate
Geben Sie niemals sensible Informationen auf eine E-Mail Anfrage heraus
Verwenden Sie in ihrem E-Mail-Client die Textansicht
Öffnen Sie keine Links in E-Mails Achten Sie auf visuelle Täuschung (tu-dresdn.de)
Öffne Sie niemals unerwarteten E-Mail-Anhang
Hinweis, dass Phishing nicht nur auf E-Mail Kommunikation bezogen ist
Verwenden Sie keine Rufnummern aus E-Mails
Weiterführende Informationen (TUD, APWG, Verbraucherzentrale NRW,...)
Halten Sie ihr System aktuell
• 2.2 Vermeiden
6 Umgangsregeln für E-Mail Kommunikation „Tipps vom Prof(i)“ weitere Hilfestellungen →
Berlin, 03.03.2016
Umsetzung - Nachbereitung
• 2 veröffentlichte Artikel (Universitätsjournal und ZIH-
Info)
Ziel und Nutzen der Kampagne Ergebnisse Kontaktperson Weiterführende Informationen (Browser in the Box)
Berlin, 03.03.2016
Umsetzung im Unternehmen
• Ziel und Nutzen, Verantwortlichen bestimmen
• Zeitpunkt und Dauer
• Rechtliche Betrachtung
• Wen einweihen?
→ hier: Personalrat, IT-Lenkungsausschuss, ServiceDesk, Datenschutzbeauftragter
Berlin, 03.03.2016
Umsetzung im Unternehmen
• Eigene Durchführung oder externe Firma
• Angriffs-, Trainingstemplates Firmenstil anpassen
• Transparente Durchführung
→ Nachbereitung und Analyse der Ergebnisse → Besprechung des Vorgehens → Nennung von Ansprechpartnern → Angst vor Fehlern/Konsequenzen nehmen → Anonymisierung kann helfen