Phishing-Simulation - Debriefing

In den vergangenen Tagen haben Sie möglicherweise eine E-Mail mit dem Betreff "Announcement: Public transport reimbursements" erhalten. Darin wurden Ihnen Rabatte für ÖV-Tickets in Aussicht gestellt.

Hierbei handelte es sich um eine Phishing-Simulation, eine simulierte Cyber-Attacke. Leider müssen wir Ihnen mitteilen, dass es keine Rabatte gibt. Die erwähnte E-Mail wurde nicht wie angegeben von den den ETH Campus Services versendet, sondern von der externen E-Mail-Adresse "info @ services.elhz.ch", die nicht mit der ETH in Zusammenhang steht. Das Login, auf welches sie verlinkt hat, war ebenfalls keine offizielle ETH-Seite. Beides waren Täuschungen und zeigen, wie Cyber-Kriminelle versuchen könnten, an Ihre Zugangsdaten zu gelangen.

Ihre Passwörter waren nie in Gefahr. Ihre Sicherheit ist unsere höchste Priorität. Wir versichern Ihnen, dass niemand Ihre Passwörter in Erfahrung bringen konnte. Falls Sie auf der Phishing-Webseite etwas eingegeben haben (oder im gefälschten Passwort-Manager, mehr dazu gleich), wurden diese Daten direkt verworfen und haben Ihr Gerät nie verlassen.

Diese Phishing-Simulation wurde von der Ethikkommission und dem Datenschutzbeauftragten der ETH überprüft und von der Schulleitung bewilligt. Sie wird von ETH-Forschenden in Zusammenarbeit mit den Informatikdiensten durchgeführt.

Vielleicht wurden sie gefragt, Ihren Passwort-Manager zu entsperren. Zusätzlich zum gefälschten ETH-Login hat die Phishing-Webseite versucht, Ihren Passwort-Manager zu imitieren (falls Sie einen nutzen) und sie möglicherweise nach Ihrem Master-Passwort gefragt. Dies war Teil eines Experiments der System Security Group (D-INFK).

Ihre Teilnahme ist vertraulich. Wir wissen nicht, ob Sie ein Passwort eingegeben haben oder nicht, da wir keine sensiblen Daten gesammelt haben. Zudem werten wir die Phishing-Simulation anonym aus und die ETH wird nichts über ihr persönliches Resultat in der Studie erfahren. Die Phishing-Simulation hat keine Konsequenzen für Sie.

Wir beantworten gerne wir Ihre Fragen...
Zu diesem Zweck haben wir weiter unten ein Q&A für Sie zusammengestellt. Es erklärt, was Phishing ist, wie Sie sich schützen können und worum es bei diesem Projekt ging. Falls weitere Fragen bestehen, zögern Sie bitte nicht, uns über zu kontaktieren.

... hätten aber auch ein paar Fragen an Sie.

Wir, die Autoren dieses Forschungsprojekts, wären Ihnen sehr dankbar, wenn Sie eine kurze Umfrage ausfüllen würden. Sie dauert nur einige Minuten, wird ebenfalls anonym ausgewertet und hilft uns, die Resultate der Studie besser zu verstehen. Die Umfrage findet auf der ETH SelectSurvey-Plattform statt.

 

Vielen Dank!

Bitte informieren Sie Ihr Umfeld noch nicht sofort. Diese Simulation ermöglicht es Ihren Kolleg*innen und Kommiliton*innen, ihre Anfälligkeit für Phishing in einem geschützten Umfeld zu testen. Deshalb wären wir Ihnen dankbar, wenn Sie das Experiment nicht gleich verraten würden. Die Simulation endet am 1. November.

Wir danken Ihnen für Ihr Verständnis und Ihren Beitrag zu unserer Forschung!

Freundliche Grüsse


Claudio Anliker & Daniele Lain
System Security Group (D-INFK)

Dr. Matteo Corti
Stellvertretender Leiter ID Applications
Informatikdienste ETH Zürich
 



Debriefing - Q&A

Wir hoffen, dass das folgende Q&A ihre Fragen beantworten wird. Andernfalls können Sie uns gerne via kontaktieren.
 


Über Phishing

Was ist Phishing?

Phishing steht für "Password fishing" (Passwörter fischen) und ist ein Cyber-Angriff, mit dem Kriminelle Sie dazu bringen wollen, sensible Informationen preiszugeben. Neben Passwörtern sind auch Kreditkarteninformationen ein häufiges Ziel.

In den meisten Fällen geben sich die Angreifer als eine Person oder eine Organization aus und versenden E-Mails in deren Namen (in unserem Fall, die ETH Campus Services). Diese E-Mails enthalten normalerweise einen Link zu einer Phishing-Webseite, die verblüffend echt aussehen kann. Wenn man dort ein Passwort eingibt, landet es direkt bei den Kriminellen.

Um die Täuschung glaubwürdiger erscheinen zu lassen, werden in Phishing-Angriffen häufig E-Mail- und Webseitenadressen verwendet, die den Originalen sehr ähnlich sind. So kann es schnell passieren, dass man Domains wie "elhz.ch" oder "eth-z.ch" mit "ethz.ch" verwechselt.

Cyberkriminelle nutzen Phishing-Angriffe oft, um sich zu bereichern (z.B. durch den Zugang zu E-Banking-Konten) oder in Unternehmen/Organisationen zu gelangen (z.B. durch das Phishing von Unternehmenspasswörtern). So entstehen weltweit jedes Jahr Schäden in Milliardenhöhe.

Was ist der Zweck einer Phishing-Simulation?

Phishing-Simulationen können dabei helfen, Organisationen und Einzelpersonen auf echte Phishing-Angriffe vorzubereiten. Sie sind bei vielen Unternehmen und Institutionen gängige Praxis.

Sie bieten mehrere Vorteile:

  • Testen und Erhöhen des Phishing-Bewusstseins: Eine Phishing-Simulation zeigt, wie Teilnehmende auf Phishing reagieren, und hilft, das Bewusstsein für die Risiken zu schärfen: Bösartige E-Mails können sehr realistisch aussehen und wir sollten im Umgang mit E-Mails vorsichtig sein - vor allem, wenn sie unerwartet sind und verlockende Versprechungen machen.
  • Testen der Reaktion von IT-Verantwortlichen: Für Organisationen ist es entscheidend, Phishing-Angriffe schnell zu bewältigen, um Schäden zu minimieren. Phishing-Simulationen ermöglichen es, die Reaktion des verantwortlichen Personals zu testen (z.B. wie früh sie den Angriff erkennen, Phishing-E-Mails löschen, gehackte Konten isolieren, usw.).
  • Forschung: Die in einer Phishing-Simulation gewonnenen Daten können genutzt werden, um spezifische Fragen zu beantworten, z.B. wie Benutzer auf bestimmte Arten von E-Mails reagieren oder wie effektiv vergangene Phishing-Trainings waren.

Das Ziel unser Simulation war es, das Bewusstsein für Phishing an der ETH zu steigern und Daten für ein Forschungsprojekt zu sammeln. Schlüsselpersonen der Informatikdienste (ID) waren informiert und haben uns geholfen, die Simulation durchzuführen.

Wie kann ich Phishing erkennen?

Die folgende ETH-Webseite erklärt, wie Sie Phishing erkennen können und wie Sie sich im Ernstfall verhalten sollten:

https://ethz.ch/staffnet/de/news-und-veranstaltungen/intern-aktuell/archiv/2022/12/so-erkennen-sie-phishing-e-mails.html

Über Passwort-Manager

Was ist ein Passwort-Manager?

Ein Passwort-Manager ist ein Programm, welches dabei hilft, Passwörter sicher und benutzerfreundlich zu erstellen, zu speichern und zu verwenden. Um gespeicherte Passwörter freizuschalten, muss man nur ein einziges Master-Passwort (und idealerweise einen zweiten Faktor) eingeben. Die meisten Passwort-Manager können über Browser-Erweiterungen in Webbrowser integriert werden.

Der Hauptvorteil eines Passwort-Managers besteht darin, dass er die Verwendung von starken, einzigartigen Passwörtern für viele Dienste und Konten erleichtert. Der Hauptnachteil ist jedoch, dass man mit einem Passwort-Manager alles auf eine Karte setzt: Wenn es einem Angreifer gelingt, den Passwort-Manager zu kompromittieren, erhält er Zugang zu allen Konten.

Schützt ein Passwort-Manager gegen Phishing?

Die kurze Antwort: Ja, wenn Sie ihn richtig verwenden.

Die meisten Passwort-Manager bieten eine Auto-Vervollständigung an, die ein Passwort nur auf den Websites vorschlägt, mit denen es verknüpft ist. Das bedeutet, dass diese Funktion auf einer Phishing-Website nichts anzeigen wird. Wenn die Auto-Vervollständigung Ihres Passwort-Managers also nicht wie erwartet funktioniert, sollten Sie definitiv überprüfen, ob die Website echt ist. Wenn Sie jedoch statt der Auto-Vervollständigung ihre Passwörter manuell kopieren und einfügen, dann kann Sie der Passwort-Manager nicht schützen.

Schliesslich können auch Passwort-Manager selbst zum Ziel von Phishing-Angriffen werden. Es ist deshalb sehr wichtig, bei jeder Eingabe des Master-Passworts zu verifizieren, dass man wirklich mit dem Passwort-Manager interagiert.

Soll ich einen Passwort-Manager nutzen oder nicht?

Ja, wir empfehlen Ihnen die Verwendung eines Passwort-Managers auf jeden Fall. Es lohnt sich aber, die folgenden Punkte zu beachten:

  • Achten Sie auf Phishing bei Passwort-Managern: Wann immer Sie sich in Ihren Passwort-Manager einloggen (oder eine E-Mail von dem entsprechenden Unternehmen erhalten), sollten Sie sorgfältig auf Anzeichen von Phishing achten. Eine Phishing-Website könnte einfach eine Benutzeroberfläche anzeigen, die wie Ihr Passwort-Manager aussieht. Wenn Sie unsicher sind, öffnen Sie Ihren Passwort-Manager manuell, indem Sie auf das Symbol in der Symbolleiste Ihres Browsers klicken. Auf diese Weise öffnet sich bestimmt der echte Passwort-Manager, da eine Phishing-Webseite nicht auf dieses Symbol zugreifen kann.
  • Verwenden Sie nur vertrauenswürdige Geräte: Greifen Sie nicht auf öffentlichen oder nicht vertrauenswürdigen Geräten auf Ihren Passwort-Manager zu (z.B. auf dem Laptop einer Person, die Sie kaum kennen).
  • Beachten Sie Warnungen: Die meisten Passwort-Manager informieren Sie in der Regel, wenn sie unerwartetes Verhalten feststellen, wie z.B. eine Anmeldung von einem neuen Gerät. Nehmen Sie diese E-Mails ernst.

Über dieses Projekt

Was ist das Ziel dieses Projekts?

Diese Simulation ist Teil unserer Forschung zu Phishing-Angriffen auf Passwort-Manager. Wenn Sie einen Passwort-Manager verwenden, haben Sie möglicherweise eine Phishing-Seite gesehen, die Ihren Passwort-Manager imitierte und nach Ihrem Master-Passwort fragte. Andernfalls enthielt die Phishing-Seite nur ein ETH-Login. Bitte beachten Sie, dass wir Ihre Eingaben nicht erfasst haben und alle Ihre Passwörter sicher sind.

Unser primäres Ziel ist es, zu verstehen, wie leicht Personen das Master-Passwort Ihres Passwort-Managers auf einer unabhängigen Phishing-Webseite eingeben.

Darüber hinaus hoffen wir, dass die Simulation das Bewusstsein für Phishing an der ETH geschärft hat.

Wer ist für dieses Projekt verantwortlich?

Dieses Projekt wird von zwei ETH-Forschenden der System Security Group (D-INFK) durchgeführt und von den Informatikdiensten der ETH unterstützt:

  • Claudio Anliker (System Security Group)
  • Daniele Lain (System Security Group)
  • Dr. Matteo Corti (IT Services)

Das Projekt wird betreut von:

  • Prof. Dr. Srdjan Capkun (Head System Security Group)

Wieso haben Sie mich nicht vorher gefragt, ob ich bei der Phishing-Simulation mitmachen will?

Der Zweck dieser Simulation ist es, die Anfälligkeit von Passwort-Managern für Phishing zu untersuchen. Deshalb mussten wir einen tatsächlichen Angriff simulieren. Sie um Ihre Zustimmung zu bitten (oder die Simulation auch nur anzukündigen), hätte Sie gewarnt und vermutlich dazu geführt, dass Sie besonders sorgfältig mit Ihren E-Mails umgegangen wären. Dies hätte die Ergebnisse unserer Studie verfälscht.

Wir bitten Sie um Ihr Verständnis.

Welche Daten haben Sie über mich gesammelt und wie sind sie geschützt?

Um diese Studie durchführen zu können, benötigten wir den Namen, die ETH-E-Mail-Adresse und den ETH-Benutzernamen aller Teilnehmenden. Zusätzlich bekamen wir Zugriff auf einfache demographische Daten, die für eine statistische Auswertung unabdingbar sind. Alle diese Daten wurden intern und nach Rücksprache mit dem Datenschutzbeauftragten der ETH von Human Resources und den Akademischen Diensten zur Verfügung gestellt. Wir werden sämtliche Daten nach unserer Auswertung löschen.

Während der Phishing-Simulation haben wir nur die unten aufgeführten Daten erfasst. Alle Daten werden unter einem Pseudonym gespeichert. Dieses Pseudonym basiert auf einem kryptographischen Hash. Dieser wurde mit einem geheimen Schlüssel erstellt, der nur den Forschenden bekannt ist.

Das heisst:

  • Wir arbeiten nur mit Ihrem Pseudonym, wenn wir Ihr Resultat analysieren.
  • Ohne Kenntnis dieses Schlüssels ist es nicht möglich, von Ihrem Pseudonym auf Ihre Identität zu schliessen.
  • Wir löschen den Schlüssel, sobald die Studie endet, wodurch alle Daten vollständig anonymisiert werden.

Wir haben die folgenden Daten gesammelt (inkl. Zeitstempel):

  • Ob Sie die Phishing-Webseite besucht haben.
  • Ob Sie Ihren ETH-Benutzernamen richtig eingegeben haben (ja oder nein)
  • Die Länge Ihrer Eingaben in Passwortfelder (eine Zahl)
  • Falls Sie zwei Passwörter in das selbe Feld eingegeben haben, ihre Levenshtein-Distanz, also die Anzahl Zeichen, in der sich die Eingaben unterscheiden (eine Zahl)
  • Mit welchen Elementen Sie auf der Webseite interagiert haben.
  • Ob Sie einen Passwort-Manager verwenden und, falls ja, welchen.
  • Zusätzliches Metadaten über Ihr System (z.B. die konfigurierte Sprache). Diese Daten werden immer wenn Sie eine Webseite besuchen automatisch von Ihren Browser mitgeschickt.

Ich möchte, dass Sie meine Daten löschen.

Wenn Sie lieber möchten, dass wir Ihre Daten löschen, senden Sie uns bitte eine E-Mail an mit dem Betreff „Opt-out“.

Wir möchten Sie jedoch bitten, Ihre Entscheidung zu überdenken:

  • Ihre Teilnahme stellt kein Risiko dar und hat keine Konsequenzen für Sie. Wir haben diese Phishing-Simulation sorgfältig geplant und verschiedene ETH-Stellen miteinbezogen. Alle gesammelten Daten werden nach dem Projekt vollständig anonymisiert und nicht zu Ihrem Nachteil verwendet.
  • Wir behandeln Ihre Daten vertraulich und mit grösster Vorsicht: Die ETH wird nur Zugriff auf aggregierte Daten erhalten und nichts über Sie persönlich erfahren.
  • Die Studie ist abgeschlossen. Sie werden im Rahmen dieser Studie keine weiteren Phishing-E-Mails erhalten.
  • Wir sind auf Ihre Daten für unsere Forschung angewiesen. Wir können nur sinnvolle Schlussfolgerungen ziehen, wenn Sie uns die Nutzung der gesammelten Daten erlauben.
  • Das Löschen der Daten wird Ihre Erfahrung nicht ändern. Wir möchten uns entschuldigen, falls die Phishing-Simulation unangenehm für Sie war. Falls Sie ein Passwort eingegeben haben, machen Sie sich keine Sorgen: Es war nur eine Übung, und das kann auch erfahrenen IT-Profis passieren.

Ich habe weitere Fragen.

Schreiben Sie uns doch eine E-Mail an .

JavaScript wurde auf Ihrem Browser deaktiviert