Modernes Phishing- & Social Engineering- Training

Transkript

1 Modernes Phishing- & Social Engineering- Training Wie sich Firmen gegen Cyber- Angriffe rüsten können. Vortrag von Lukas Schaefer, Pallas Security Breakfast,

2 Agenda. 1. Phishing & Social Engineering 2. Arten von Schulungsmaßnahmen 3. Was können Sie jetzt tun, um sich zu schützen?

3 Worüber sprechen wir hier überhaupt? Phishing = Das "Abfischen" von Zugangsdaten, Pincodes und Geschäftsgeheimnissen über präparierte s, Nachrichten oder Anrufe. Social Engineering = Auch "soziale Manipulation": zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen (z.b. Preisgabe von vertraulichen Informationen, Freigabe von Finanzmitteln) zu bewegen.

4 Phishing und Social Engineering sind für Firmen ein dramatisches Problem. 92% 74% 3Mio aller Cyber-Angriffe starten mit einer Phishing-Mail. aller Unternehmen weltweit werden mind. 1x im Jahr mit gezielten Cyber- Attacken angegriffen. Kosten werden in jedem mittelgroßen Unternehmen pro Jahr durch Phishing verursacht. Quellen: Friedrich-Alexander-Universität Erlangen-Nürnberg, Kent State University, Forbes Magazine

5 Die Opfer sind mal mehr und mal weniger prominent.

6 Durch wen werden derartige Cyber-Attacken durchgeführt und warum? Hauptmotive Geld Proprietäre Daten Spionage Politische Ziele Selbstdarstellung Rache Gruppen von Angreifern Cyber-Kriminelle Industriespione Cyber-Krieger Hacktivisten Hobby-Hacker

7 Hacker nutzen verschiedenste Mittel und Wege, um Sie anzugreifen. Phishing Verfolgt die Absicht persönliche Daten abzufangen bzw. zu stehlen, z.b. über gefälschte Internetseiten oder s. Malware Schädliche Software, die ohne das Wissen des Nutzers auf ein Gerät zugreift mit dem Ziel, Daten zu extrahieren oder das Gerät zu schädigen. Spear-Phishing Eine gezielte Phishing- Attacke auf eine eng abgegrenzte Benutzergruppe, über die der Angreifer im Vorfeld genaue Informationen einholt. Ransomware Eine besondere Art von Malware, die ein Gerät infiziert, sperrt und Geld für die Entsperrung verlangt.

8 Wie läuft ein typischer Phishing-Angriff ab? (1/2) Bestimmung der Angriffstaktik Automatisierter Versand über Mailverteiler Empfang der Phishing-Mails Der Angreifer wählt ein Motiv (Geld, persönliche Daten, Geschäftsgeheimnisse) sowie eine dazu passende Vorgehensweise für den Angriff aus. Durch eine geeignete Software werden tausende von - Adressen geraten oder der Angreifer erhält durch ein Datenbank-Leak Zugriff auf echte Adressen. Die wird an die Verteilerliste geschickt und gelangt in Ihr -Postfach, sofern der Spamfilter sie nicht erkennt. Auch mit den besten Spamfiltern und Antiviren-Programmen gelangen immer noch zahlreiche schadhafte Mails in unsere Postfächer

9 Wie läuft ein typischer Phishing-Angriff ab? (2/2) Öffnen der durch den Empfänger Aktives Eingehen auf den Mailinhalt Preisgabe sensibler Daten Schon durch das reine Öffnen der teilen Sie dem Angreifer wichtige Daten mit, z.b., dass Ihre Mailadresse tatsächlich existiert. Gleiches gilt für das Beantworten (auch "Ich habe Sie durchschaut!") der . Bereits durch das einfache Klicken eines Links oder das Herunterladen eines Anhangs können Sie schadhafte Programme (sog. Malware) auf Ihrem Endgerät installieren. Oft gelangen Sie über die enthaltenen Links auf eine gefälschte Website. Dort werden Sie dann aufgefordert, Ihre Passwörter, TANs oder andere sensible Daten preiszugeben.

10 Auch die besten technischen Barrieren bieten nur bedingten Schutz. 156 Mio Phishing-Mails werden täglich versandt. 16 Mio kommen durch Spam-Filter. Jede zweite Phishing- Mail wird geöffnet. 8 Mio werden geöffnet. Filter Nutzer Quellen: Symantec, McAfee 80% aller Mitarbeiter können komplexe Phishing-Mails nicht erkennen.

11 Agenda. 1. Phishing & Social Engineering 2. Arten von Schulungsmaßnahmen 3. Was können Sie jetzt tun, um sich zu schützen?

12 Es bestehen verschiedene Möglichkeiten zur Schulung der Mitarbeiter. (1/2) Beschreibung Materialien Lern- und Kommunikationsmaterialien wie Poster oder Bildschirmschoner Schulungen Seminare und Präsenzveranstaltungen zu Sicherheitsthemen Charakter Basis eines jeden Awareness- Programms, kostengünstig erwerbbar, bringen das Thema auf die Agenda Vermittlung breiter und tiefgehender Inhalte, erfordern allerdings Anwesenheit und Zeitaufwand der Mitarbeiter

13 Es bestehen verschiedene Möglichkeiten zur Schulung der Mitarbeiter. (2/2) Beschreibung elearnings Online-Module, die eigenverantwortlich am Rechner oder mobil durchgeführt werden Simulationen Dauerhafte simulierte Phishing-Angriffe, mit Lerninhalten in der Situation Charakter Breite Vermittlung von Inhalten, zeitsparender als Seminare selbstgesteuert, teilweise ist die Übertragung des Gelernten begrenzt Können die Aufmerksamkeit dauerhaft und zeitsparend erhöhen und Mitarbeiter am Objekt schulen, allerdings nicht so tiefgehend wie elearnings

14 Agenda. 1. Phishing & Social Engineering 2. Arten von Schulungsmaßnahmen 3. Was können Sie jetzt tun, um sich zu schützen?

15 Wir trainieren Mitarbeiter im richtigen Umgang mit Cyberattacken. Wir schicken Mitarbeitern realistische Phishing-Angriffe und zeigen direkt, wie diese Angriffe erkennen können Betriebe erhalten Transparenz zur Anfälligkeit Ihrer Mitarbeiter für Angriffe; komplett DSGVO-konform! Die Mitarbeiter informieren sich über IT-Sicherheit und Datenschutz durch unser elearning auch mobil!

16 Wie läuft die Simulation einer Phishing-Attacke ab? Versand von s mit typischen Angriffsszenarien Die Mitarbeiter erhalten s, wie sie auch von echten Hackern an Unternehmen verschickt würden dabei werden sie zum Klicken von Links oder dem Download von Dateien angeregt. Sofortiges Feedback mit Hinweisen zur konkreten Klickt ein Nutzer auf einen der Links, öffnet sich ein Browserfenster und er erhält differenzierte Hinweise, an denen er die E- Mail als Phishing-Versuch hätte identifizieren können. Analyse der Anfälligkeit des Betriebs Der Betrieb erhält Informationen zur Anfälligkeit seiner Mitarbeiter auf aggregierte/anonyme Weise. Dies kann im Dialog mit weiteren Maßnahmen genutzt werden.

17 Die Simulation ist auf den Arbeitsalltag in den Unternehmen zugeschnitten. Weitere Beispiele: PDF mit vermeintlich relevantem Zeitungsartikel (FAZ, SPON, o.ä.) Zahlungsaufforderung für eine fiktive Rechnung eines Dienstleisters Link zu Fotos der Weihnachtsfeier Bewerbungsschreiben auf Stellenausschreibung

18 Unsere elearning-module decken alle relevanten Awareness-Bereiche ab. Spam & Phishing Spear-Phishing (Social Hacking) Malware, Ransomware & Co Social Media und Messaging Smartphone- Sicherheit Grundlagen der Cybersicherheit Kollaborations- & Remote Tools Passwort- Sicherheit Datenträger- Sicherheit Datenschutz/ DSGVO-Basics Hintergrundinfos & Beispiele zu jedem Modul Praktische Anleitungen & Tricks Abschließendes Quiz zur Kontrolle des Lernerfolgs

19 Wir sehen z.t. dramatische Klickraten, die wir aber substantiell reduzieren können. ~18% durchschnittliche Klickrate auf alle initial versandten Templates (5 per Mitarbeiter) >50% durchschnittliche Klickrate bei unseren 3 erfolgreichsten Templates >70% aller Mitarbeiter klicken mindestens auf eines der 5 initial versandten Templates >55% Reduktion der Klickraten nach initialer Sensibilisierung Dieser Wert kann deutlich weiter gesenkt werden, wenn eine fortlaufende Sensibilisierung durchgeführt wird. Quelle: Kundenprojekte Q1-Q3/2018

20 SoSafe bietet zwei grundsätzliche Leistungspakete an. Basic: Branchen-Package Simulation mit unseren Branchen-Templates und Nutzung unserer allgemeinen Infomaterialien. Fertige, branchenspezifische Mail-und Landing-Page-Templates unterschiedlicher Schwierigkeitsgrade Enterprise: Individuelles Package Individuell angepasste Templates zur Imitation eines gezielten Angriffs auf ein spezielles Unternehmen. Angepasste, branchenspezifische Mail-und Landing-Page-Templates unterschiedlicher Schwierigkeitsgrade Individuelle Templates (Imitation von Kollegen, Bezugnahme auf Stellenausschreibung, etc.), passgenau auf konkreten Kontext Feedback-Seite zur Information der Mitarbeiter mit Kundenlogo Zugriff auf unsere elearning Module über ein proprietäres Learning Mgmt. Systems zur Nachhaltung des Lernerfolgs Zugriff auf unsere elearning Module über ein proprietäres Learning Mgmt. Systems zur Nachhaltung des Lernerfolgs Individualisiertes elearning Portal mit Kundenlogo Auswertungen/Statistiken zur durchgeführten Kampagne Zugriff auf Vorlagen zur internen Kommunikation, Awareness- Screensaver, Poster, u.v.m. Auswertungen/Statistiken zur durchgeführten Kampagne Zugriff auf Vorlagen zur internen Kommunikation, Awareness- Screensaver, Poster, u.v.m.

21 Aktuell haben wir die folgenden Branchenpakete im Programm. Handwerk z.b. für Baufirmen, Einzelunternehmer und Handwerksverbände Steuern & Recht z.b. für Steuerberater, Anwälte oder Wirtschaftsprüfer Media & Marktforschung z.b. für Webagenturen, Werbeagenturen und MaFo-Unternehmen Handel z.b. für Groß- und Einzelhändler oder Handelsverbände Healthcare z.b. für Arztpraxen, Krankenhäuser oder Gesundheitsdienstleister KRITIS z.b. für Transportunternehmen, Stadtwerke, Energieund IT-Unternehmen Öffentlicher Sektor z.b. für Behörden, Stadtverwaltungen oder Schulen. Produktion & Verarbeitung z.b. für kleine Produktions- und Fertigungsbetriebe Weitere Branchen in Entwicklung!

22 Was können Sie heute noch tun, um sich gegen Phishing-Mails zu schützen? Wachsam bleiben Seien Sie vorsichtig bei ungewöhnlichen Anfragen. Achten Sie bei vertrauten Absendern auf Unregelmäßigkeiten, wie die -Signatur oder den Sprachstil. Absender-Adresse & Links überprüfen Überprüfen Sie, ob die -Adresse des Absenders korrekt ist. Fahren Sie mit dem Mauszeiger über Absendernamen & Links. Im Zweifel: fragen und verifizieren Zweifeln Sie an der Authentizität der , kontaktieren Sie den Absender mit einer neuen/separaten Mail oder rufen Sie ihn an.

23 Amateure hacken Systeme, Profis hacken Menschen. Bruce Schneier, Experte für Cryptographie und Computersicherheit, Harvard University Venloer Str Köln