Wissen ist Schutz: Warum Phishing-Simulationen wichtig sind
In der letzten Woche haben ETH-Mitarbeitende und Studierende eine E-Mail erhalten, die sie unter dem Vorwand der Rückerstattung von ÖV-Kosten, dazu aufgefordert hat ihr Passwort einzugeben. Diese E-Mail war Teil einer Phishing-Simulation, die von der System Security Group in Absprache mit den zentralen Informatikdiensten durchgeführt wurde.
- Vorlesen
- Anzahl der Kommentare
Claudio Anliker, Projektleiter der Phishing-Simulation und Doktorand in der System Security Gruppe von Srdjan Capkun im Departement Informatik. Im Interview legt er die Gründe der Phishing-Simulation dar.
Wie ist es zu dieser gemeinsamen Aktion mit den zentralen Informatikdiensten gekommen?
Claudio Anliker: Mein Kollege Daniele Lain hat im Rahmen seiner Doktorarbeit einige Nutzer-Studien im Bereich Phishing gemacht. Matteo Corti von den Informatikdiensten hat ein Paper von ihm gelesen und Interesse signalisiert an einer gemeinsamen Studie, da Phishing natürlich auch für die Informatikdienste der ETH ein wichtiges Thema ist. Als mir die Idee kam, die Sicherheit von externen Passwortmanagern mit einer Phishing-Studie zu untersuchen, bin ich auf Matteo zugegangen. Er war sehr schnell bereit mit uns zusammen zu arbeiten.
Warum braucht es solche Phishing-Simulationen?
In vielen Unternehmen gehören regelmässige Phishing-Simulationen zum Alltag. Es ist wichtig die Mitarbeitenden für Phishing zu sensibilisieren, denn das Schadenspotential ist enorm. Sei es in Bezug auf Industriespionage oder einen Ransomware-Angriff. Man weiss, dass der grösste Sicherheitsschwachpunkt jeder IT-Infrastruktur der Mensch ist. Und Phishing-Attacken werden immer raffinierter, Nutzer müssen sehr aufmerksam sein, um sie zu erkennen.
Warum wurden neben den Mitarbeitenden auch die Studierenden angeschrieben?
Zum einen war es für unsere studienspezifische Fragestellung wichtig, eine grosse Anzahl von Teilnehmenden zu haben, da nur ein Bruchteil einen Passwortmanager nützt. Andererseits ist es auch wichtig, den Studierenden zu demonstrieren, wie Phishing funktionieren kann, da die Erfahrung mit E-Mails im professionellen Bereich oft noch fehlt.
Welche Forschungsergebnisse erhofft ihr euch aus der Simulation?
Wir hoffen herauszufinden, ob unsere Intuition stimmt, dass Passwortmanager, die ein Masterpasswort nutzen, relativ einfach «gefischt» werden können. Oder ob es sich zeigt, dass sie eigentlich viel sicherer sind als wir denken.
Ausserdem erwarten wir Erkenntnisse darüber, was einen Passwortmanager sicherer macht gegenüber Phishing Angriffen. Die Passwortmanager funktionieren alle etwas anders, manche öffnen zum Beispiel ein Pop-up, andere einen neuen Browser-Tab mit eigener URL. Wir hoffen, dass wir mit der Studie genug Daten erhalten, um Tendenzen auszumachen, ob gewisse Designentscheide einen Passwortmanager sicherer machen könnten.
Wie viele Personen sind auf die Mail reingefallen?
Wir haben ca. 32 000 Personen angeschrieben. Auf den Link geklickt haben etwa 35%. Davon wiederum haben ungefähr 70% auf der Webseite eine Eingabe gemacht, wobei sicherlich nicht alle ihr echtes Passwort eingegeben haben. Aufgrund der hohen Qualität der Phishing-Mail liegt das ungefähr im erwarteten Rahmen. Für genauere Angaben und Infos zu den Passwortmanagern müssen wir erst die Daten auswerten.
Müssen sich die Personen, die ihr Passwort eingegeben haben Sorgen machen?
Nein. Egal was sie auf der Webseite eingegeben oder gemacht haben, wir haben keine Passwörter gespeichert. Wir können auch nicht sagen, wer ein richtiges Passwort eingegeben hat und wer nicht. Die Auswertung erfolgt anonym. Es muss einem aber auch nicht peinlich sein, wenn man auf die Simulation hereingefallen ist. Das kann jedem und jeder passieren, gerade wenn man im Stress ist und nicht so genau schaut.
Woran erkenne ich denn eine Phishing-Attacke?
Vertrauen Sie ruhig auf Ihr Gefühl und sind Sie E-Mails gegenüber etwas misstrauisch. Wenn Ihnen irgendwas komisch vorkommt, dann lohnt es sich genauer hinzuschauen. Bei Mails mit eingebetteten Links und Anhängen ist generell Vorsicht geboten. Denn Phishing-Attacken zielen immer darauf ab, dass ich eine Aktion mache: ich soll auf einen Link klicken, etwas herunterladen oder einen Anhang öffnen. Das Wichtigste ist den Absender genau zu überprüfen. Grosse Organisationen wie die ETH Zürich haben ihre Mailserver so konfiguriert, dass nicht einfach Mails mit ihrer Adresse versendet werden können. Das heisst Angreifer nutzen Namen die ähnlich klingen. In unserer Simulation z.B. die Endung «elhz.ch» statt «ethz.ch». Wichtig ist sich bewusst zu sein, dass gerade bei mobiler Nutzung oft nur der Anzeigename zu sehen ist – in unserem Fall «ETH Campus Services» – und der kann gefälscht werden.
Eure Phishing-Mail wirkte sehr ausgefeilt und glaubwürdig. Wieso?
Ja, die E-Mail war absichtlich sehr überzeugend. Ein Grund dafür war unser Forschungsprojekt: Wir wollten untersuchen, wie sich die Leute auf der simulierten Phishing-Seite verhalten, nachdem die E-Mail-Täuschung erfolgreich war.
Ist eine solche Phishing-Mail realistisch?
Ja, absolut. Durch die riesigen Fortschritte im Bereich der generativen künstlichen Intelligenz können solche E-Mails in Sekunden generiert und perfekt in andere Sprachen übersetzt werden. Die Zeiten der mit Rechtschreibefehlern übersäten E-Mails, die mit unglaubwürdigen Erbschaften werben, ist vorbei. Zusätzlich können die Daten, die man für ein solches Phishing braucht (wie Namen, ETH-Abteilung, E-Mailadressen usw.), sehr einfach im Internet gefunden werden. Leider ist es auch so, dass die ETH eine grosse Menge sogenannter «Spear-Phishing-Angriffe» verzeichnet, die auf bestimmte Personen oder Abteilungen abzielen und sehr personalisiert sind. Solche E-Mails werden nur in kleinen Zahlen verschickt, was es für Mail-Filter schwieriger macht, das Phishing zu erkennen.
Neu markiert die ETH externe E-Mails normalerweise als «extern». Wieso war das bei eurer Phishing-Mail nicht der Fall?
Wir haben uns wegen unseres Forschungsprojekts entschieden, das «extern»-Label nicht anzuzeigen. Die E-Mail sollte möglichst echt wirken, um zu sehen, wie sich die Teilnehmenden auf der Webseite verhalten. Wir sind uns bewusst, dass dadurch auch Leute auf den Link geklickt haben, die das mit dem «extern»-Label nicht getan hätten. In dem Fall können sie sich damit trösten, dass sie eine echte, externe Phishing-Mail höchstwahrscheinlich erkannt hätten.
Man sollte sich aber trotzdem nicht nur auf diese Markierung verlassen: Sie wird bei vielen Mailboxen noch nicht angezeigt und von einigen E-Mail-Clients gar nicht unterstützt (sie fehlt z.B. bei der Mail-App auf iOS). Das kann schnell für ein Gefühl der falschen Sicherheit sorgen, vor allem wenn man mit verschiedenen Geräten arbeitet. Im Ausnahmefall könnten auch ein Konfigurationsfehler oder eine gehackte ETH-Mailadresse Gründe dafür sein, dass eine Phishing-Mail nicht als extern markiert wird. Deshalb sollte man sowohl die E-Mail als auch die geöffnete Webseite immer auf weitere wichtige Phishing-Indikatoren prüfen, bevor man ein Passwort eingibt. Das geht schneller als man denkt (siehe Intern Aktuell-Artikel vom 13.12.2022).
Was mache ich, wenn ich eine Phishing-Attacke vermute?
Wenn man sich unsicher ist, dann sollte man lieber einmal zu viel als zu wenig das Mail zum Check an die Informatikdienste schicken. Ich persönlich bin schon misstrauisch, wenn ich eine Mail mit Anhang erhalte, weil das so selten passiert. Aber mir ist auch klar, dass es für jemanden der in der Studienadministration oder im HR arbeitet, ganz selbstverständlich ist viele Mails mit unterschiedlichsten Anhängen zu bekommen.
Ist es denn ein Sicherheitsrisiko, wenn ich die Mail an die Informatikdienste weiterleite?
Am sichersten ist es, wenn ich die Mail als Anhang weiterleite. Kritisch wird es, wenn ich auf einen Link klicke und ein Passwort eingebe. Wenn das passiert, ist es wichtig, dies sofort zu melden, damit der Schaden minimiert werden kann.
Habt Ihr viel Feedback bekommen?
Wir haben überraschend viel positives Feedback bekommen. Viele Leute verstehen, dass dieses Thema wichtig ist und haben auch die Möglichkeit genutzt, uns noch weitere Fragen zuzuschicken. Wie erwartet gab es aber auch negatives Feedback: Vor allem die Tatsache, dass wir ÖV-Vergünstigungen als Köder benutzt haben, kam nicht überall gut an.
Wieso habt ihr euch dafür entschieden?
Eine simulierte Phishing-Mail ist immer eine Gratwanderung. Einerseits soll sie attraktiv sein wie eine Echte, weil die Übung sonst keinen Sinn macht. Andererseits sollte sie die Teilnehmenden emotional so wenig wie möglich belasten, was einem Angreifer natürlich egal wäre. Eine Umfrage zu Mensa-Menüs hätte wohl niemanden gestört, aber auch viele schlicht nicht interessiert. Als Gegenbeispiel wäre eine Mahnung vor Exmatrikulation wohl auf offene Ohren gestossen, aber ethisch klar nicht vertretbar gewesen. Die ÖV-Vergünstigungen waren ein Kompromiss und wurden von der Ethikkommission bewilligt.
Wird es zukünftig weitere solche Phishing-Simulationen an der ETH geben?
Von unserer Seite ist für das aktuelle Projekt nichts mehr geplant, aber ich kann nicht für die ETH sprechen. Ich könnte mir ein Folgeprojekt aber gut vorstellen, da die Zusammenarbeit mit den Informatikdiensten sehr gut war, insbesondere auch mit Matteo Corti und Johannes Hadodo, dem neuen Leiter Cyber- und Information Security (CISO). Ich habe wahrscheinlich mit einem Dutzend Leuten aus verschiedensten Abteilungen gesprochen und es war immer sehr konstruktiv. Auch von der Schulleitung wurden wir in unserem Vorhaben unterstützt. Das ist keine Selbstverständlichkeit und ich weiss das sehr zu schätzen. Und das Thema Phishing bleibt natürlich auch zukünftig für die ETH relevant.
Noch Fragen?
Falls Sie noch Fragen haben zu der Phishing-Simulation finden Sie weitere Informationen auf der Debriefingwebseite der Studie.
Bei generellen Fragen zur IT-Sicherheit finden Sie Informationen auf den Seiten der Informatikdienste.
Wenn Sie vermuten oder wissen, dass Sie es mit einer Phishing-Mail zu tun haben, leiten Sie diese bitte an weiter.
Wichtig ist, dass Sie die Mail als Anhang weiterleiten. Im Outlook macht man das über die Funktion «Als Anlage weiterleiten».
Ihren zuständigen IT-Support müssen Sie nur kontaktieren, falls Sie auf den Link in der E-Mail geklickt haben.
Immer aktuell informiert
Möchten Sie stets die wichtigsten internen Informationen und News der ETH Zürich erhalten? Dann abonnieren Sie den Newsletter «Intern aktuell» und besuchen Sie regelmässig Staffnet, das Info-Portal für ETH-Mitarbeitende.