13. November 2020 von Vivien Emily Schiller
Phishing Kampagne bei adesso
Phishing ist eine Kunst der Manipulation, die sowohl technisches als auch menschliches Wissen erfordert. Wird eine Phishing E-Mail nicht durch technische Maßnahmen daran gehindert, vom Empfangenden aufgerufen zu werden, liegt es an diesem, richtig zu handeln. Handelt das Opfer nicht korrekt, ist der Klick auf den Link oder Anhang die einzige notwendige Aktion des Opfers für einen erfolgreichen Phishing Betrug.
Phishing Awareness durch Phishing
Opfer eines Phishing Angriffs in Deutschland zu werden, ist nicht unwahrscheinlich. Phishing Angriffe sind im Cybercrime Report 2018 nach wie vor ein wichtiges Thema. Darüber hinaus wurde vom BSI eine Umfrage zur Cybersicherheit durchgeführt, die zeigt, dass im Jahr 2018 43 % der befragten Großunternehmen von Cybersicherheitsvorfällen betroffen waren, wobei die Hälfte dieser Angriffe erfolgreich waren. Von den gemeldeten Sicherheitsvorfällen wurde mehr als die Hälfte durch Malware verursacht, wobei 90 % als Anhang oder Link in einer E-Mail verbreitet wurden. In dem Report wird weiter beschrieben, dass in der Hälfte der erfolgreich abgewehrten Fälle technische Maßnahmen eine Infektion verhindern konnten, in den anderen Fällen soll das Bewusstsein der Mitarbeitenden der Erfolgsfaktor gewesen sein. Um genau dieses Bewusstsein zu erlangen und die menschliche Firewall zu aktivieren, können Unternehmen heute simulierte Phishing Schulungen bei Dienstleistern erwerben.
Phishing Simulation bei adesso
Um uns also bestmöglich vor Phishing Attacken zu schützen, wollten wir diese bewusstseinsschärfende Maßnahme ebenfalls nutzen und im Rahmen einer Masterarbeit begleiten lassen. Für diesen ersten Durchlauf haben wir uns für den Dienstleister SoSafe entschieden, der sich auf solche Phishing Simulationen spezialisiert hat. Die folgenden Abschnitte beziehen sich auf den Ablauf der Phishing Kampagne und auf die Ergebnisse der Phishing Simulation.
Der Plan
“Einmal mit der Brechstange eine Phishing Simulation durchführen”, beschreibt die geplante zwei Wochen dauernde Phishing Simulation recht gut. Es war geplant, an jeden der 2495 adessi in Deutschland vier verschiedene Phishing E-Mails zu versenden, sodass insgesamt etwa 9980 E-Mails versendet werden sollten. Die vier E-Mails waren unterteilt in eine CEO Fraud, eine Kandidatenempfehlung über LinkedIn, eine Anwalts E-Mail bezüglich eines illegalen Datei Downloads und eine E-Mail von einem Voicemail Service. Die E-Mails unterschieden sich somit in ihrem Schwierigkeitsgrad, in ihrem geschäftlichen oder privaten Kontext, in ihren psychologischen Taktiken und ob es sich um einen Link oder einen Anhang handelte.
Die Phishing Kampagne umfasste nicht nur die vorbereiteten Phishing E-Mails, sondern auch eine kurze Online Schulung. Diese Schulungsseite wurde ebenfalls von SoSafe bereitgestellt. Sobald jemand dem Link oder dem Anhang in der CEO Fraud, der Anwalts E-Mail oder dem Voicemail Service folgte, wurde er auf eine Online Schulungsseite von SoSafe weitergeleitet, die zur besseren Identifizierung mit dem adesso Firmenlogo versehen wurde. Bei der LinkedIn E-Mail musste man nicht nur auf den Link klicken, sondern auch in das Passwortfeld der gefälschten Anmeldeseite, um auf die Schulungsseite zu gelangen. Alternativ führt auch die Schaltfläche “Registrieren” zur Schulungsseite. Auf diese Weise wurde sichergestellt, dass keine echten Anmeldedaten von LinkedIn abgegriffen wurden.
Die Realität
Soweit der Plan. Die Realität sah am Ende etwas anders aus. Das Endergebnis: 3423 versandte E-Mails von den ursprünglich geplanten 9980. Bereits am zweiten Tag wurden die E-Mails von 9980 auf insgesamt 4990 reduziert, da der Ansturm auf den IT Support zu groß wurde. Zudem wurde die Simulation vorzeitig in Absprache mit unserem Chief Information Security Officer Sascha Winekenstädde abgebrochen. Der Bericht über die Statistiken wurde elf Tage nach dem Ende der Kampagne gezogen. Das bedeutet, dass selbst die Klickraten noch registriert worden sind, die nach dem Ende der Simulation geöffnet oder empfangen wurden.
Die Klickraten für alle versandten Phishing E-Mails betrug insgesamt 26,4%. Von 903 E-Mails, bei denen ein Link oder ein Anhang geöffnet wurde, wurden 35,5% auf dem Smartphone geöffnet. Von den Teilnehmenden, die auf eine Phishing E-Mail klickten, klickten sich 23,5% Schritt für Schritt bis zum Ende durch das eLearning durch. Darüber hinaus interagierten 29,5% auf der falschen LinkedIn Anmeldeseite, d.h. diejenigen, die eine LinkedIn E-Mail erhielten und daraufklickten, klickten entweder auf das Passwortfeld oder auf den Registrierungsbutton. In Bezug auf alle versandten simulierten Phishing E-Mails öffneten 44,1% die E-Mail in einem E-Mail Programm und sogar 1,5% antworteten auf die E-Mail.
Die Klickraten der einzelnen E-Mail Vorlagen betrugen am Ende der Kampagne 31% für die CEO Fraud, 29,9% für die LinkedIn E-Mail, 33,4% für den Voicemail Service und 11,2% für die Anwalts E-Mail. Besonders bemerkenswert ist, dass am Ende des ersten Tages die Klickrate der CEO Fraud mit 194 versandten E-Mails und 102 Klicks bei 52,6% lag.
Die Verteilung der einzelnen Phishing Templates und deren Klickraten pro Tag könnt ihr den folgenden Grafiken entnehmen:
Das Feedback
Die Phishing Simulation wurde ohne vorherige Ankündigung durchgeführt, so wie reale Phishing Angriffe ebenfalls nicht angekündigt werden. Um ein Stimmungsbild abzuholen wurden zwei Online Umfragen und diverse semistrukturierte Interviews durchgeführt. Zu der ersten Online Umfrage gelangte man, indem man auf eine Phishing E-Mail eingegangen war und auf die zur Verfügung gestellte Schulungsseite gelangte. Innerhalb dieser Umfrage konnte man sich zudem auch für ein weiterführendes Interview anmelden. Die zweite Umfrage wurde in dem Aufklärungsnewsflash von unserem Vorstand versendet, sodass alle adessi die Möglichkeit hatten, ein Feedback zurückzuspielen. Das Stimmungsbild über die Online Umfragen und den Interviews war durchweg positiv und eine Wiederholung wurde sich gewünscht. Eine solche Schulungsmaßnahme schien mehr Aufmerksamkeit und Gespräche zu erzeugen, als eine übliche (Online-) Schulung. Dies war genau der Effekt, den wir erzielen wollten.
Fazit
Wie immer zeigt sich: Je besser die Phishing E-Mail in den Kontext der empfangenden Person passt und je weniger Fehler sie aufweist, umso höher ist die Wahrscheinlichkeit, dass die Person auf die E-Mail eingeht und den Betrug nicht bemerkt. Um einen Schaden zu verhindern und präventiv vorzugehen, sind Phishing Simulationen ein hilfreiches Werkzeug. Die Klickraten der Kampagne zeigen zudem die Notwendigkeit solcher Security Awareness Maßnahmen. Bei dieser Maßnahme waren wir, als Nutzende von E-Mail Programmen im Fokus. Lasst uns im nächsten Schritt die Nutzenden unserer Software in den Fokus nehmen, um auch sie vor Phishing zu schützen. Schließlich kann auch ein Auto mit all seinen Assistenzsystemen sicher entwickelt worden sein, wenn der oder die Fahrende eingreift, kann es trotzdem zu einem Unfall kommen.
Kategorie: |
|
Schlagwörter: |
Security Awareness Phising |