Fakultät Informatik Professur Datenschutz und Datensicherheit
Durchführung eines integrierten Anti-Phishing-Trainings
23. DFN-Konferenz "Sicherheit in vernetzten Systemen"
Referent: Stephan Escher
Hamburg, 10.02.2016 Integriertes Training
Inhaltsübersicht
1. Einführung
2. Integriertes Training
3. Umsetzung einer Trainingskampagne
4. Ergebnisse und Auswertung
5. Zusammenfassung und Ausblick
Folie 2 von 36
Hamburg, 10.02.2016 Integriertes Training
Einführung
• Phishing = Teilbereich des Social Engineering
• Ausnutzung sozialer Interaktion
• Nachahmung vertrauensvoller digitaler Kommunikation
• Ziel: Informationsdiebstahl
Folie 3 von 19
ww
w.se
c ur ity ca
rt oon
. com
Hamburg, 10.02.2016 Integriertes Training
Einführung
Folie 4 von 36
• 1 – Informationsbeschaffung
z.B. Webauftritte von Firmen, Soziale Netzwerke, ...
Hamburg, 10.02.2016 Integriertes Training
Einführung
Folie 4 von 36
• 2 – Trägerangriff
Kommunikationskanal: E-Mail, SMS, VOIP, ... Vortäuschen einer vertrauten Identität Kontext verleitet Ziel zu Interaktion
Hamburg, 10.02.2016 Integriertes Training
Einführung
Folie 4 von 36
• 3 – Weiterleitung auf manipulierte Phishing-Webseite
• 3 – Installation von Schadsoftware durch Öffnen des Anhangs oder Drive-By-Downloads
Hamburg, 10.02.2016 Integriertes Training
Einführung
Folie 4 von 36
• 4 – Informationsdiebstahl durch Mithilfe des Nutzers oder Schadsoftware
Einsatz: Wirtschaftsspionage, Identitätsdiebstahl,... günstige Einstiegsmethode für APT Attacken Auswirkung: 2013 - 5,9Mrd. US$ weltweit (RSA)
Hamburg, 10.02.2016 Integriertes Training
Einführung
Ursachen
Fehlendes Risikobewusstsein Visuelle Täuschung Begrenzte Aufmerksamkeit
• Technische Maßnahmen ungenügend
• Sensibilisierung der Nutzer wichtige Massnahme
Problem: Motivation der Nutzer im Bereich der IT-Sicherheit
Folie 5 von 36
Hamburg, 10.02.2016 Integriertes Training
Inhaltsübersicht
1. Einführung
2. Integriertes Training
3. Umsetzung einer Trainingskampagne
4. Ergebnisse und Auswertung
5. Zusammenfassung und Ausblick
Folie 6 von 36
Hamburg, 10.02.2016 Integriertes Training
Integriertes Training
Ziel: Erhöhung der Motivation und Interesse an Trainingsmaterial
• Konfrontation des Nutzers mit Phishing-Angriff während normalem Arbeitsablauf
• Sofortige Intervention und Training bei Fehlverhalten
Folie 7 von 36
• 1 – Senden des Trägerangriffes
Simuliert oder Real Meist simulierter E-Mail Angriff
Hamburg, 10.02.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 8 von 36
• 1 – Senden des Trägerangriffes - Simulation+ Training periodisch durchführbar+ Zeitlich festlegbar + Angriffe anpassbar/erweiterbar - Arbeitsaufwand bei Erstellung der Materialien
Hamburg, 10.02.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 8 von 36
Hamburg, 10.02.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 8 von 36
• 1 – Senden des Trägerangriffes
• 2 – Intervention nach Interaktion (z.B. Link-Klick)
• 3 – Erweiterter Angriff mit Phishing-Webseite
Simuliert oder Real
Hamburg, 10.02.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 8 von 36
Hamburg, 10.02.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 8 von 36
• 3 – Erweiterter Angriff mit Phishing-Webseite
• 4 – Intervention nach Eingabe sensibler Daten
Hamburg, 10.02.2016 Integriertes Training
Integriertes Training - Intervention
• Arbeitsablauf des Nutzers klar unterbrechen
• Effektive und verständliche Hinweise geben
• Keine Angst vor digitaler Kommunikation erzeugen
• Kein Handlungsbedarf ausgehend von simuliertem
Angriff
Folie 9 von 36
Hamburg, 10.02.2016 Integriertes Training
Integriertes Training - Intervention
• 3 Themengebiete: Hintergrundwissen, Hinweise zur
Verhinderung, Aktive Mithilfe
• Hinweise zur Verhinderung → Erkennungshinweise vs.
Verhaltensregeln
Erkennungshinweise häufig nicht eindeutig und ausnutzbar
Verhaltensregeln zumindest für Sensibilisierung des Trägerangriffes sinnvoller
Folie 10 von 36
Integriertes Training
Integriertes Training - Intervention
• Inhalt auf vorangegangenen Angriffsvektor beziehen
• Multimediale Elemente helfen Sachverhalt interessanter zu gestalten
Folie 9 von 36
P. Ku
mar a
gur u
et a
l ., Teac h
i ng
John
ny N
ot to
Fall fo
r Ph
i sh, 2
01
0
Hamburg, 10.02.2016 Integriertes Training Folie 10 von 36
htt p
s :/ /edu
catio
n.a
pw
g. o
r g/ e
duc a
t ion- re
dir e
c t- pr o
gra
m
Hamburg, 10.02.2016 Integriertes Training
Integriertes Training - Ablauf
Folie 13 von 36
• 5 – Vollständiger Test des Netzwerkes ohne Training
Weiterleitung auf Fehlerseite oder Originalseite
Hamburg, 10.02.2016 Integriertes Training
Inhaltsübersicht
1. Einführung
2. Integriertes Training
3. Umsetzung einer Trainingskampagne
4. Ergebnisse und Auswertung
5. Zusammenfassung und Ausblick
Folie 14 von 36
Hamburg, 10.02.2016 Integriertes Training
Umsetzung - Angriff
• Simulation eines „außenstehenden“ Angreifers
• Zielgruppe: 4348 Mitarbeiter der TU Dresden
→ Crawling aus TU Telefonverzeichnis
• Spear-Phishing mittels E-Mail, Intervention direkt nach Fehlverhalten
Folie 15 von 36
Hamburg, 10.02.2016 Integriertes Training
Umsetzung - Angriff
• Integrierte Phishing-Elemente
Link → tu-dresdn.de, versteckt hinter HTML Anchor Tags
Anhang → HTML Format Logo → externer Inhalt (Web Bug)
Folie 16 von 36
Hamburg, 11.03.2015
Umsetzung - Warnseite
Erläuterung der Situation Hinweis auf Forschungsarbeit Button “Was bedeutet das” - Messung der Motivation
Folie 18 von 36Integriertes Training
Hamburg, 11.03.2015
Umsetzung - Trainingsseite
Erläuterung der Situation 3 Themengebiete: Verstehen, Vermeiden, Helfen
Folie 19 von 36Integriertes Training
Hamburg, 10.02.2016 Integriertes Training
Umsetzung - Trainingswebseite
• 2.1 Verstehen
Erläuterung des Phishings anhand einer Story-basierten Timeline
Gibt Begründung warum Nutzer etwas verändern sollte
Folie 20 von 36
Hamburg, 10.02.2016
Umsetzung - Trainingswebseite
Folie 21 von 36
• 2.2 Vermeiden
6 Umgangsregeln für E-Mail Kommunikation Button „Tipps vom Prof(i)“ → weitere Hilfestellungen
Integriertes Training
Hamburg, 10.02.2016 Integriertes Training
Umsetzung - Trainingswebseite
• 2.3 Helfen
Nutzer Möglichkeit aufweisen aktiv gegen Phishing mitzuwirken
Kontaktstellen, Fragenkatalog
Folie 22 von 36
Hamburg, 10.02.2016 Integriertes Training
Umsetzung - Durchführung
• Grundlage: SPT (GPL), Entwicklung eingestellt
• Erweiterungen u.a. Anonymisierung der
Kampagnendaten, Responsive Design, Phishing-
Anhang/Web Bug, Statistiken, ...
• Server im internen Netzwerk, Versand über lokalen
MTA (Postfix)
Hamburg, 10.02.2016 Integriertes Training
Umsetzung - Durchführung
• Erfasste Informationen:
Zeitpunkt des Absendens der E-Mail Interaktionen des Nutzers Zeitpunkt dieser Aktionen Systeminformationen (Browser, -Plugins, BS,...)
• Anonymisiert gespeichert
• Response-ID enthielt Fakultät, Geschlecht, Fachrichtung
Folie 24 von 36
Hamburg, 10.02.2016 Integriertes Training
Inhaltsübersicht
1. Einführung
2. Integriertes Training
3. Umsetzung einer Trainingskampagne
4. Ergebnisse und Auswertung
5. Zusammenfassung und Ausblick
Folie 25 von 36
Hamburg, 10.02.2016
Ergebnisse und Auswertung
• > ¼ der Mitarbeiter (28,5%) Opfer des Angriffes
(1241/4348)
• 16,4% (711) Mitarbeiter luden das Logo nach
Folie 26 von 36
Beides (186)
Anhang (310)
Link-Klick (1117)
0 5 10 15 20 25 30
4,3
7,1
25,7
Anzahl in %
Ergebnisse und Auswertung
• Keine essentiellen Reaktionsunterschiede bei der
Betrachtung von Geschlecht und Fachrichtungen
Hamburg, 10.02.2016 Folie 27 von 36
Hamburg, 10.02.2016
Ergebnisse und Auswertung
• Keine essentiellen Reaktionsunterschiede bei der
Betrachtung von Geschlecht und Fachrichtungen
Folie 20 von 36Folie 27 von 36
Ergebnisse und Auswertung
• Drastische Ergebnisse bei zeitlicher Betrachtung
10 Min → 127 Klicks / 57 Anhänge 1 h → 471 Klicks / 162 Anhänge 2 h → 680 Klicks / 204 Anhänge
Hamburg, 10.02.2016
Ergebnisse und Auswertung
• Verwendete Software:
Windows (83%), Firefox (69%) > 90% der Browser erlaubten Ausführung von JS
und Cookies
• Betrachtung des Schadsoftwarerisikos (veraltete Softwareversionen)
90,7% Java-Plugins 10,8% Flash-Plugins 18,6% Browser
Folie 22 von 36
Hamburg, 10.02.2016
Ergebnisse und Auswertung
• Trainingsergebnis nur mäßig zufriedenstellend
→ nur die Hälfte der Opfer (50,4%) war motiviert mehr über Phishing zu erfahren (626/1241)
Folie 23 von 36Folie 30 von 36
Hamburg, 10.02.2016
Ergebnisse und Auswertung
• Reaktionen bei Erkennung des Angriffes unterschiedlich
Meldung an Informationssicherheit, Administratoren oder eigenen Lehrstuhlmitarbeitern
Kein konkreter Reaktionsplan für Eintreffen eines realen Vorfalls festgestellt
• Beschwerden über Verlust von Arbeitszeit→ auch ohne Informationsdiebstahl können Schäden entstehen
→ Vorbeugen durch Reaktionsplan / zentrales Meldesystem
Integriertes Training Folie 31 von 36
Hamburg, 10.02.2016
Ergebnisse und Auswertung
• Insgesamt vorwiegend positive Resonanz der Mitarbeiter
• über 70% haben aus Training etwas gelernt, fanden Art des Trainings gut und Verhaltensregeln durchsetzbar
• Anfragen bei Informationssicherheit, Service Desk vorwiegend Nachfrage ob E-Mail Phishing-Angriff ist
→ Erkannt: gefälschte Domain, nicht signiert Thematisierung des Kontextes der Nachricht
Integriertes Training Folie 32 von 36
Hamburg, 10.02.2016 Integriertes Training
Inhaltsübersicht
1. Einführung
2. Integriertes Training
3. Umsetzung einer Trainingskampagne
4. Ergebnisse und Auswertung
5. Zusammenfassung und Ausblick
Folie 33 von 36
Hamburg, 10.02.2016
Zusammenfassung & Ausblick
• Gezielte Angriffe führen sehr schnell und effektiv zum Ziel
• Geschlecht, technischer Hintergrund zeigten keine wesentlichen Unterschiede im Umgang mit gezielten Phishing Angriffen
• Kombination aus Test / Training suboptimal
Integriertes Training Folie 34 von 36
Hamburg, 10.02.2016
Zusammenfassung & Ausblick
• Motivationsfaktor nur mäßig, aber allgemein große Resonanz/Aufmerksamkeit auf Kampagne
→ für weitere Schulungsmaßnahmen nutzbar→ weitere Untersuchungen des Trainingsmaterials
• Langzeitstudien über verändertes Nutzerverhalten
• Aufbau eines Reaktionsplans für schnelle und organisierte Reaktion
→ schulen des Plans bspw. mittels integriertem Training
Integriertes Training Folie 35 von 36