Durchführung eines integrierten Anti-Phishing-Trainings

Transkript

1 Fakultät Informatik Professur Datenschutz und Datensicherheit Durchführung eines integrierten Anti-Phishing-Trainings 64. DFN-Betriebstagung AK Mail Referent: Stephan Escher

2 Inhaltsübersicht 1. Einführung Umsetzung einer Trainingskampagne 4. Ergebnisse und Auswertung 5. Zusammenfassung und Ausblick Folie 2 von 36

3 Einführung Phishing = Teilbereich des Social Engineering Ausnutzung sozialer Interaktion Nachahmung vertrauensvoller digitaler Kommunikation Ziel: Informationsdiebstahl Folie 3 von 19

4 Einführung 1 Informationsbeschaffung z.b. Webauftritte von Firmen, Soziale Netzwerke,... Folie 4 von 36

5 Einführung 2 Trägerangriff Kommunikationskanal: , SMS, VOIP,... Vortäuschen einer vertrauten Identität Kontext verleitet Ziel zu Interaktion Folie 4 von 36

6 Einführung 3 Weiterleitung auf manipulierte Phishing-Webseite 3 Installation von Schadsoftware durch Öffnen des Anhangs oder Drive-By-Downloads Folie 4 von 36

7 Einführung 4 Informationsdiebstahl durch Mithilfe des Nutzers oder Schadsoftware Einsatz: Wirtschaftsspionage, Identitätsdiebstahl,... günstige Einstiegsmethode für APT Attacken Auswirkung: ,9Mrd. US$ weltweit (RSA) Folie 4 von 36

8 Einführung Ursachen Fehlendes Risikobewusstsein Visuelle Täuschung Begrenzte Aufmerksamkeit Technische Maßnahmen ungenügend Sensibilisierung der Nutzer wichtige Massnahme Problem: Motivation der Nutzer im Bereich der IT-Sicherheit Folie 5 von 36

9 Inhaltsübersicht 1. Einführung Umsetzung einer Trainingskampagne 4. Ergebnisse und Auswertung 5. Zusammenfassung und Ausblick Folie 6 von 36

10 Ziel: Erhöhung der Motivation und Interesse an Trainingsmaterial Konfrontation des Nutzers mit Phishing-Angriff während normalem Arbeitsablauf Sofortige Intervention und Training bei Fehlverhalten Folie 7 von 36

11 - Ablauf 1 Senden des Trägerangriffes Simuliert oder Real Meist simulierter Angriff Folie 8 von 36

12 - Ablauf 1 Senden des Trägerangriffes - Simulation + Training periodisch durchführbar + Zeitlich festlegbar + Angriffe anpassbar/erweiterbar - Arbeitsaufwand bei Erstellung der Materialien Folie 8 von 36

13 - Ablauf 1 Senden des Trägerangriffes 2 Intervention nach Interaktion (z.b. Link-Klick) Folie 8 von 36

14 - Ablauf 3 Erweiterter Angriff mit Phishing-Webseite Simuliert oder Real Folie 8 von 36

15 - Ablauf 3 Erweiterter Angriff mit Phishing-Webseite 4 Intervention nach Eingabe sensibler Daten Folie 8 von 36

16 - Intervention Arbeitsablauf des Nutzers klar unterbrechen Effektive und verständliche Hinweise geben Keine Angst vor digitaler Kommunikation erzeugen Kein Handlungsbedarf ausgehend von simuliertem Angriff Folie 9 von 36

17 - Intervention 3 Themengebiete: Hintergrundwissen, Hinweise zur Verhinderung, Aktive Mithilfe Hinweise zur Verhinderung Erkennungshinweise vs. Verhaltensregeln Erkennungshinweise häufig nicht eindeutig und ausnutzbar Verhaltensregeln zumindest für Sensibilisierung des Trägerangriffes sinnvoller Folie 10 von 36

18 - Intervention Inhalt auf vorangegangenen Angriffsvektor beziehen Multimediale Elemente helfen Sachverhalt interessanter zu gestalten Folie 9 von 36 P. Kumaraguru et al., Teaching Johnny Not to Fall for Phish, 2010

19 Folie 10 von 36

20 - Ablauf 5 Vollständiger Test des Netzwerkes ohne Training Weiterleitung auf Fehlerseite oder Originalseite Folie 13 von 36

21 Inhaltsübersicht 1. Einführung Umsetzung einer Trainingskampagne 4. Ergebnisse und Auswertung 5. Zusammenfassung und Ausblick Folie 14 von 36

22 Umsetzung - Angriff Simulation eines außenstehenden Angreifers Zielgruppe: 4348 Mitarbeiter der TU Dresden Crawling aus TU Telefonverzeichnis Spear-Phishing mittels , Intervention direkt nach Fehlverhalten Folie 15 von 36

23 Umsetzung - Angriff Integrierte Phishing-Elemente Link tu-dresdn.de, versteckt hinter HTML Anchor Tags Anhang HTML Format Logo externer Inhalt (Web Bug) Folie 16 von 36

24 Umsetzung - Angriff Folie 12 von 36

25 Umsetzung - Warnseite Erläuterung der Situation Hinweis auf Forschungsarbeit Button Was bedeutet das - Messung der Motivation Hamburg, Folie 18 von 36

26 Umsetzung - Trainingsseite Erläuterung der Situation 3 Themengebiete: Verstehen, Vermeiden, Helfen Hamburg, Folie 19 von 36

27 Umsetzung - Trainingswebseite 2.1 Verstehen Erläuterung des Phishings anhand einer Story-basierten Timeline Gibt Begründung warum Nutzer etwas verändern sollte Folie 20 von 36

28 Umsetzung - Trainingswebseite 2.2 Vermeiden 6 Umgangsregeln für Kommunikation Button Tipps vom Prof(i) weitere Hilfestellungen Folie 21 von 36

29 Umsetzung - Trainingswebseite 2.3 Helfen Nutzer Möglichkeit aufweisen aktiv gegen Phishing mitzuwirken Kontaktstellen, Fragenkatalog Folie 22 von 36

30 Umsetzung - Durchführung Grundlage: SPT (GPL), Entwicklung eingestellt Erweiterungen u.a. Anonymisierung der Kampagnendaten, Responsive Design, PhishingAnhang/Web Bug, Statistiken,... Server im internen Netzwerk, Versand über lokalen MTA (Postfix)

31 Umsetzung - Durchführung Erfasste Informationen: Zeitpunkt des Absendens der Interaktionen des Nutzers Zeitpunkt dieser Aktionen Systeminformationen (Browser, -Plugins, BS,...) Anonymisiert gespeichert Response-ID enthielt Fakultät, Geschlecht, Fachrichtung Folie 24 von 36

32 Inhaltsübersicht 1. Einführung Umsetzung einer Trainingskampagne 4. Ergebnisse und Auswertung 5. Zusammenfassung und Ausblick Folie 25 von 36

33 Ergebnisse und Auswertung > ¼ der Mitarbeiter (28,5%) Opfer des Angriffes (1241/4348) Link-Klick (1117) 25.7 Anhang (310) 7.1 Beides (186) Anzahl in % 16,4% (711) Mitarbeiter luden das Logo nach Folie 26 von 36

34 Ergebnisse und Auswertung Keine essentiellen Reaktionsunterschiede bei der Betrachtung von Geschlecht und Fachrichtungen Folie 27 von 36

35 Ergebnisse und Auswertung Keine essentiellen Reaktionsunterschiede bei der Betrachtung von Geschlecht und Fachrichtungen Folie von 36

36 Ergebnisse und Auswertung Drastische Ergebnisse bei zeitlicher Betrachtung 10 Min 127 Klicks / 57 Anhänge 1h 471 Klicks / 162 Anhänge 2h 680 Klicks / 204 Anhänge

37 Ergebnisse und Auswertung Verwendete Software: Windows (83%), Firefox (69%) > 90% der Browser erlaubten Ausführung von JS und Cookies Betrachtung des Schadsoftwarerisikos (veraltete Softwareversionen) 90,7% Java-Plugins 10,8% Flash-Plugins 18,6% Browser Folie 22 von 36

38 Ergebnisse und Auswertung Trainingsergebnis nur mäßig zufriedenstellend nur die Hälfte der Opfer (50,4%) war motiviert mehr über Phishing zu erfahren (626/1241) Folie von 36

39 Ergebnisse und Auswertung Reaktionen bei Erkennung des Angriffes unterschiedlich Meldung an Informationssicherheit, Administratoren oder eigenen Lehrstuhlmitarbeitern Kein konkreter Reaktionsplan für Eintreffen eines realen Vorfalls festgestellt Beschwerden über Verlust von Arbeitszeit auch ohne Informationsdiebstahl können Schäden entstehen Vorbeugen durch Reaktionsplan / zentrales Meldesystem Folie 31 von 36

40 Ergebnisse und Auswertung Insgesamt vorwiegend positive Resonanz der Mitarbeiter über 70% haben aus Training etwas gelernt, fanden Art des Trainings gut und Verhaltensregeln durchsetzbar Anfragen bei Informationssicherheit, Service Desk vorwiegend Nachfrage ob Phishing-Angriff ist Erkannt: gefälschte Domain, nicht signiert Thematisierung des Kontextes der Nachricht Folie 32 von 36

41 Inhaltsübersicht 1. Einführung Umsetzung einer Trainingskampagne 4. Ergebnisse und Auswertung 5. Zusammenfassung und Ausblick Folie 33 von 36

42 Zusammenfassung & Ausblick Gezielte Angriffe führen sehr schnell und effektiv zum Ziel Geschlecht, technischer Hintergrund zeigten keine wesentlichen Unterschiede im Umgang mit gezielten Phishing Angriffen Motivationsfaktor nur mäßig, aber allgemein große Resonanz/Aufmerksamkeit auf Kampagne für weitere Schulungsmaßnahmen nutzbar weitere Untersuchungen des Trainingsmaterials Folie 34 von 36

43 Zusammenfassung & Ausblick Interesse an IT-Sicherheitsveranstaltungen gestiegen Anmeldung TU-Zertifikate 1200 auf 3500 Langzeitstudien über verändertes Nutzerverhalten Aufbau eines Reaktionsplans für schnelle und organisierte Reaktion schulen des Plans bspw. mittels integriertem Training Folie 35 von 36

44 Vielen Dank für Ihre Aufmerksamkeit Folie 36 von 36

45 Fehlerbetrachtung 272 Mails unzustellbar, 66 Abwesenheitsnotiz konnten im Nachhinein nicht entfernt werden Interessens-Klicks nicht auszuschließen schnelle Verbreitung der Kampagne Zuordnung des Geschlechts abhängig von Richtigkeit des Namensverzeichnisses

46 Fehlerbetrachtung Öffnung des Anhangs möglicherweise durch HTML Format verfälscht Kombination aus Test / Training suboptimal Standort des Servers im internen Netzwerk Headerinformationen der

47 Umsetzung - Informationserfassung

48 Umsetzung - Trainingswebseite Fragenkatalog - 7 Fragen zur Bewertung des Trainings - Absenden nur einmal pro ID möglich Fragen Haben Sie schon vorher von Phishing gehört? Finden Sie die im Nachhinein ungewöhnlich? Haben Sie aus diesem Training etwas gelernt? Finden Sie die 6 Regeln durchsetzbar? Haben Sie schon einmal ein Sicherheitstraining im Bereich Phishing absolviert? Wie finden Sie die Art dieses Security Trainings? Wie effizient halten Sie Firewall, Antivirensystem usw. um vor Phishing zu schützen?

49 Umsetzung - Trainingswebseite 2.2 Vermeiden 6 Umgangsregeln für Kommunikation Tipps vom Prof(i) weitere Hilfestellungen 6 Verhaltensregeln Weitere Informationen Vertrauen Sie nicht blind auf s Hinweis auf TU-Zertifikate Geben Sie niemals sensible Informationen auf eine Anfrage heraus Verwenden Sie in ihrem -Client die Textansicht Öffnen Sie keine Links in s Achten Sie auf visuelle Täuschung (tudresdn.de) Öffne Sie niemals unerwarteten -Anhang Hinweis, dass Phishing nicht nur auf Kommunikation bezogen ist Verwenden Sie keine Rufnummern aus s Weiterführende Informationen (TUD, APWG, Verbraucherzentrale NRW,...) Halten Sie ihr System aktuell

50 Umsetzung - Nachbereitung 2 veröffentlichte Artikel (Universitätsjournal und ZIHInfo) Ziel und Nutzen der Kampagne Ergebnisse Kontaktperson Weiterführende Informationen (Browser in the Box)

51 Umsetzung im Unternehmen Ziel und Nutzen, Verantwortlichen bestimmen Zeitpunkt und Dauer Rechtliche Betrachtung Wen einweihen? hier: Personalrat, IT-Lenkungsausschuss, ServiceDesk, Datenschutzbeauftragter

52 Umsetzung im Unternehmen Eigene Durchführung oder externe Firma Angriffs-, Trainingstemplates Firmenstil anpassen Transparente Durchführung Nachbereitung und Analyse der Ergebnisse Besprechung des Vorgehens Nennung von Ansprechpartnern Angst vor Fehlern/Konsequenzen nehmen Anonymisierung kann helfen