Durchführung eines integrierten Anti-Phishing-Trainings€¦ · • Spear-Phishing mittels E-Mail, Intervention direkt nach Fehlverhalten Folie 15 von 36. Berlin, 03.03.2016 Integriertes

Fakultät Informatik Professur Datenschutz und Datensicherheit

Durchführung eines integrierten Anti-Phishing-Trainings

64. DFN-Betriebstagung – AK Mail

Referent: Stephan Escher

Berlin, 03.03.2016 Integriertes Training

Inhaltsübersicht

1. Einführung

2. Integriertes Training

3. Umsetzung einer Trainingskampagne

4. Ergebnisse und Auswertung

5. Zusammenfassung und Ausblick

Folie 2 von 36


Einführung

• Phishing = Teilbereich des Social Engineering

• Ausnutzung sozialer Interaktion

• Nachahmung vertrauensvoller digitaler Kommunikation

• Ziel: Informationsdiebstahl

Folie 3 von 19

ww

w.s ec u

r ity ca rt oon. co

m


Einführung

Folie 4 von 36

• 1 – Informationsbeschaffung

z.B. Webauftritte von Firmen, Soziale Netzwerke, ...


Einführung

Folie 4 von 36

• 2 – Trägerangriff

Kommunikationskanal: E-Mail, SMS, VOIP, ... Vortäuschen einer vertrauten Identität Kontext verleitet Ziel zu Interaktion


Einführung

Folie 4 von 36

• 3 – Weiterleitung auf manipulierte Phishing-Webseite

• 3 – Installation von Schadsoftware durch Öffnen des Anhangs oder Drive-By-Downloads


Einführung

Folie 4 von 36

• 4 – Informationsdiebstahl durch Mithilfe des Nutzers oder Schadsoftware

Einsatz: Wirtschaftsspionage, Identitätsdiebstahl,... günstige Einstiegsmethode für APT Attacken Auswirkung: 2013 - 5,9Mrd. US$ weltweit (RSA)


Einführung

Ursachen

Fehlendes Risikobewusstsein Visuelle Täuschung Begrenzte Aufmerksamkeit

• Technische Maßnahmen ungenügend

• Sensibilisierung der Nutzer wichtige Massnahme

Problem: Motivation der Nutzer im Bereich der IT-Sicherheit

Folie 5 von 36


Inhaltsübersicht

1. Einführung





Folie 6 von 36


Integriertes Training

Ziel: Erhöhung der Motivation und Interesse an Trainingsmaterial

• Konfrontation des Nutzers mit Phishing-Angriff während normalem Arbeitsablauf

• Sofortige Intervention und Training bei Fehlverhalten

Folie 7 von 36

• 1 – Senden des Trägerangriffes

Simuliert oder Real Meist simulierter E-Mail Angriff


Integriertes Training - Ablauf

Folie 8 von 36

• 1 – Senden des Trägerangriffes - Simulation+ Training periodisch durchführbar+ Zeitlich festlegbar + Angriffe anpassbar/erweiterbar - Arbeitsaufwand bei Erstellung der Materialien



Folie 8 von 36



Folie 8 von 36

• 1 – Senden des Trägerangriffes

• 2 – Intervention nach Interaktion (z.B. Link-Klick)

• 3 – Erweiterter Angriff mit Phishing-Webseite

Simuliert oder Real



Folie 8 von 36



Folie 8 von 36

• 3 – Erweiterter Angriff mit Phishing-Webseite

• 4 – Intervention nach Eingabe sensibler Daten


Integriertes Training - Intervention

• Arbeitsablauf des Nutzers klar unterbrechen

• Effektive und verständliche Hinweise geben

• Keine Angst vor digitaler Kommunikation erzeugen

• Kein Handlungsbedarf ausgehend von simuliertem

Angriff

Folie 9 von 36



• 3 Themengebiete: Hintergrundwissen, Hinweise zur

Verhinderung, Aktive Mithilfe

• Hinweise zur Verhinderung Erkennungshinweise vs. →

Verhaltensregeln

Erkennungshinweise häufig nicht eindeutig und ausnutzbar

Verhaltensregeln zumindest für Sensibilisierung des Trägerangriffes sinnvoller

Folie 10 von 36



• Inhalt auf vorangegangenen Angriffsvektor beziehen

• Multimediale Elemente helfen Sachverhalt interessanter zu gestalten

Folie 9 von 36

P. Kum

ar agur u

et a l., Te ac hi n

g J o

hnny N

ot to

F all for Ph

is h, 2

010

Berlin, 03.03.2016 Integriertes Training Folie 10 von 36

htt p

s :/ /e duca ti o

n.a p

wg.o

rg/e d

uca tio

n-re d

ire ct -pro

gr am



Folie 13 von 36

• 5 – Vollständiger Test des Netzwerkes ohne Training

Weiterleitung auf Fehlerseite oder Originalseite


Inhaltsübersicht

1. Einführung





Folie 14 von 36


Umsetzung - Angriff

• Simulation eines „außenstehenden“ Angreifers

• Zielgruppe: 4348 Mitarbeiter der TU Dresden

→ Crawling aus TU Telefonverzeichnis

• Spear-Phishing mittels E-Mail, Intervention direkt nach Fehlverhalten

Folie 15 von 36


Umsetzung - Angriff

• Integrierte Phishing-Elemente

Link tu-dres→ dn.de, versteckt hinter HTML Anchor Tags

Anhang HTML Format → Logo externer Inhalt (Web Bug) →

Folie 16 von 36


Umsetzung - Angriff

Folie 12 von 36

Hamburg, 11.03.2015

Umsetzung - Warnseite

Erläuterung der Situation Hinweis auf Forschungsarbeit Button “Was bedeutet das” - Messung der Motivation

Folie 18 von 36Integriertes Training

Hamburg, 11.03.2015

Umsetzung - Trainingsseite

Erläuterung der Situation 3 Themengebiete: Verstehen, Vermeiden, Helfen

Folie 19 von 36Integriertes Training


Umsetzung - Trainingswebseite

• 2.1 Verstehen

Erläuterung des Phishings anhand einer Story-basierten Timeline

Gibt Begründung warum Nutzer etwas verändern sollte

Folie 20 von 36

Berlin, 03.03.2016


Folie 21 von 36

• 2.2 Vermeiden

6 Umgangsregeln für E-Mail Kommunikation Button „Tipps vom Prof(i)“ weitere Hilfestellungen →




• 2.3 Helfen

Nutzer Möglichkeit aufweisen aktiv gegen Phishing mitzuwirken

Kontaktstellen, Fragenkatalog

Folie 22 von 36


Umsetzung - Durchführung

• Grundlage: SPT (GPL), Entwicklung eingestellt

• Erweiterungen u.a. Anonymisierung der

Kampagnendaten, Responsive Design, Phishing-

Anhang/Web Bug, Statistiken, ...

• Server im internen Netzwerk, Versand über lokalen

MTA (Postfix)


Umsetzung - Durchführung

• Erfasste Informationen:

Zeitpunkt des Absendens der E-Mail Interaktionen des Nutzers Zeitpunkt dieser Aktionen Systeminformationen (Browser, -Plugins, BS,...)

• Anonymisiert gespeichert

• Response-ID enthielt Fakultät, Geschlecht, Fachrichtung

Folie 24 von 36


Inhaltsübersicht

1. Einführung





Folie 25 von 36

Berlin, 03.03.2016

Ergebnisse und Auswertung

• > ¼ der Mitarbeiter (28,5%) Opfer des Angriffes

(1241/4348)

• 16,4% (711) Mitarbeiter luden das Logo nach

Folie 26 von 36

Beides (186)

Anhang (310)

Link-Klick (1117)

0 5 10 15 20 25 30

4.3

7.1

25.7

Anzahl in %


• Keine essentiellen Reaktionsunterschiede bei der

Betrachtung von Geschlecht und Fachrichtungen

Berlin, 03.03.2016 Folie 27 von 36

Berlin, 03.03.2016


• Keine essentiellen Reaktionsunterschiede bei der

Betrachtung von Geschlecht und Fachrichtungen

Folie 20 von 36Folie 27 von 36


• Drastische Ergebnisse bei zeitlicher Betrachtung

10 Min 127 Klicks / 57 Anhänge→ 1 h 471 Klicks / 162 Anhänge→ 2 h 680 Klicks / 204 Anhänge→

Berlin, 03.03.2016


• Verwendete Software:

Windows (83%), Firefox (69%) > 90% der Browser erlaubten Ausführung von

JS und Cookies

• Betrachtung des Schadsoftwarerisikos (veraltete Softwareversionen)

90,7% Java-Plugins 10,8% Flash-Plugins 18,6% Browser

Folie 22 von 36

Berlin, 03.03.2016


• Trainingsergebnis nur mäßig zufriedenstellend

→ nur die Hälfte der Opfer (50,4%) war motiviert mehr über Phishing zu erfahren (626/1241)

Folie 23 von 36Folie 30 von 36

Berlin, 03.03.2016


• Reaktionen bei Erkennung des Angriffes unterschiedlich

Meldung an Informationssicherheit, Administratoren oder eigenen Lehrstuhlmitarbeitern

Kein konkreter Reaktionsplan für Eintreffen eines realen Vorfalls festgestellt

• Beschwerden über Verlust von Arbeitszeit → auch ohne Informationsdiebstahl können Schäden

entstehen

→ Vorbeugen durch Reaktionsplan / zentrales Meldesystem

Integriertes Training Folie 31 von 36

Berlin, 03.03.2016


• Insgesamt vorwiegend positive Resonanz der Mitarbeiter

• über 70% haben aus Training etwas gelernt, fanden Art des Trainings gut und Verhaltensregeln durchsetzbar

• Anfragen bei Informationssicherheit, Service Desk vorwiegend Nachfrage ob E-Mail Phishing-Angriff ist

→ Erkannt: gefälschte Domain, nicht signiert Thematisierung des Kontextes der Nachricht



Inhaltsübersicht

1. Einführung





Folie 33 von 36

Berlin, 03.03.2016

Zusammenfassung & Ausblick

• Gezielte Angriffe führen sehr schnell und effektiv zum Ziel

• Geschlecht, technischer Hintergrund zeigten keine wesentlichen Unterschiede im Umgang mit gezielten Phishing Angriffen

• Motivationsfaktor nur mäßig, aber allgemein große Resonanz/Aufmerksamkeit auf Kampagne

→ für weitere Schulungsmaßnahmen nutzbar → weitere Untersuchungen des Trainingsmaterials


Berlin, 03.03.2016

Zusammenfassung & Ausblick

• Interesse an IT-Sicherheitsveranstaltungen gestiegen

• Anmeldung TU-Zertifikate 1200 auf 3500→

• Langzeitstudien über verändertes Nutzerverhalten

• Aufbau eines Reaktionsplans für schnelle und organisierte Reaktion

→ schulen des Plans bspw. mittels integriertem Training


Berlin, 03.03.2016 Integriertes Training Folie 36 von 36

Vielen Dank für Ihre Aufmerksamkeit

Berlin, 03.03.2016

Fehlerbetrachtung

• 272 Mails unzustellbar, 66 Abwesenheitsnotiz konnten →

im Nachhinein nicht entfernt werden

• Interessens-Klicks nicht auszuschließen schnelle →

Verbreitung der Kampagne

• Zuordnung des Geschlechts abhängig von Richtigkeit

des Namensverzeichnisses

Berlin, 03.03.2016

Fehlerbetrachtung

• Öffnung des Anhangs möglicherweise durch HTML

Format verfälscht

• Kombination aus Test / Training suboptimal

• Standort des Servers im internen Netzwerk

Headerinformationen der E-Mail→

Berlin, 03.03.2016

Umsetzung - Informationserfassung

Berlin, 03.03.2016


• Fragenkatalog

- 7 Fragen zur Bewertung des Trainings- Absenden nur einmal pro ID möglich Fragen

Haben Sie schon vorher von Phishing gehört?

Finden Sie die E-Mail im Nachhinein ungewöhnlich?

Haben Sie aus diesem Training etwas gelernt?

Finden Sie die 6 Regeln durchsetzbar?

Haben Sie schon einmal ein Sicherheitstraining im Bereich Phishing absolviert?

Wie finden Sie die Art dieses Security Trainings?

Wie effizient halten Sie Firewall, Antivirensystem usw. um vor Phishing zu schützen?

Berlin, 03.03.2016


6 Verhaltensregeln Weitere Informationen

Vertrauen Sie nicht blind auf E-Mails Hinweis auf TU-Zertifikate

Geben Sie niemals sensible Informationen auf eine E-Mail Anfrage heraus

Verwenden Sie in ihrem E-Mail-Client die Textansicht

Öffnen Sie keine Links in E-Mails Achten Sie auf visuelle Täuschung (tu-dresdn.de)

Öffne Sie niemals unerwarteten E-Mail-Anhang

Hinweis, dass Phishing nicht nur auf E-Mail Kommunikation bezogen ist

Verwenden Sie keine Rufnummern aus E-Mails

Weiterführende Informationen (TUD, APWG, Verbraucherzentrale NRW,...)

Halten Sie ihr System aktuell

• 2.2 Vermeiden

6 Umgangsregeln für E-Mail Kommunikation „Tipps vom Prof(i)“ weitere Hilfestellungen →

Berlin, 03.03.2016

Umsetzung - Nachbereitung

• 2 veröffentlichte Artikel (Universitätsjournal und ZIH-

Info)

Ziel und Nutzen der Kampagne Ergebnisse Kontaktperson Weiterführende Informationen (Browser in the Box)

Berlin, 03.03.2016

Umsetzung im Unternehmen

• Ziel und Nutzen, Verantwortlichen bestimmen

• Zeitpunkt und Dauer

• Rechtliche Betrachtung

• Wen einweihen?

→ hier: Personalrat, IT-Lenkungsausschuss, ServiceDesk, Datenschutzbeauftragter

Berlin, 03.03.2016

Umsetzung im Unternehmen

• Eigene Durchführung oder externe Firma

• Angriffs-, Trainingstemplates Firmenstil anpassen

• Transparente Durchführung

→ Nachbereitung und Analyse der Ergebnisse → Besprechung des Vorgehens → Nennung von Ansprechpartnern → Angst vor Fehlern/Konsequenzen nehmen → Anonymisierung kann helfen

Documents

Durchführung eines integrierten Anti-Phishing-Trainings€¦ · • Spear-Phishing mittels E-Mail, Intervention direkt nach Fehlverhalten Folie 15 von 36. Berlin, 03.03.2016 Integriertes