Wissen ist Schutz: Warum Phishing-Simulationen wichtig sind

In der letzten Woche haben ETH-Mitarbeitende und Studierende eine E-Mail erhalten, die sie unter dem Vorwand der Rückerstattung von ?V-Kosten, dazu aufgefordert hat ihr Passwort einzugeben. Diese E-Mail war Teil einer Phishing-Simulation, die von der System Security Group in Absprache mit den zentralen Informatikdiensten durchgeführt wurde.

Illustration Phishing Email, eine Email hängt ein einem Angelhaken in einen Laptop rein
Einmal kurz nicht aufgepasst und in der Mail auf den falschen Link geklickt: Phishing-Attacken werden immer raffinierter.    (Bild: ST.art / Adobe Stock)

Claudio Anliker, Projektleiter der Phishing-Simulation und Doktorand in der System Security Gruppe von Srdjan Capkun im Departement Informatik. Im Interview legt er die Gründe der Phishing-Simulation dar. 

Vergr?sserte Ansicht: Porträtbild des Informatikers Claudio Anliker,
Claudio Anliker, Doktorand D-INFK. (Bild: zVg)

Wie ist es zu dieser gemeinsamen Aktion mit den zentralen Informatikdiensten gekommen?
Claudio Anliker: Mein Kollege Daniele Lain hat im Rahmen seiner Doktorarbeit einige Nutzer-Studien im Bereich Phishing gemacht. Matteo Corti von den Informatikdiensten hat ein Paper von ihm gelesen und Interesse signalisiert an einer gemeinsamen Studie, da Phishing natürlich auch für die Informatikdienste der ETH ein wichtiges Thema ist. Als mir die Idee kam, die Sicherheit von externen Passwortmanagern mit einer Phishing-Studie zu untersuchen, bin ich auf Matteo zugegangen. Er war sehr schnell bereit mit uns zusammen zu arbeiten.

Warum braucht es solche Phishing-Simulationen?
In vielen Unternehmen geh?ren regelm?ssige Phishing-Simulationen zum Alltag. Es ist wichtig die Mitarbeitenden für Phishing zu sensibilisieren, denn das Schadenspotential ist enorm. Sei es in Bezug auf Industriespionage oder einen Ransomware-Angriff. Man weiss, dass der gr?sste Sicherheitsschwachpunkt jeder IT-Infrastruktur der Mensch ist. Und Phishing-Attacken werden immer raffinierter, Nutzer müssen sehr aufmerksam sein, um sie zu erkennen.

Warum wurden neben den Mitarbeitenden auch die Studierenden angeschrieben?
Zum einen war es für unsere studienspezifische Fragestellung wichtig, eine grosse Anzahl von Teilnehmenden zu haben, da nur ein Bruchteil einen Passwortmanager nützt. Andererseits ist es auch wichtig, den Studierenden zu demonstrieren, wie Phishing funktionieren kann, da die Erfahrung mit E-Mails im professionellen Bereich oft noch fehlt.

Welche Forschungsergebnisse erhofft ihr euch aus der Simulation?
Wir hoffen herauszufinden, ob unsere Intuition stimmt, dass Passwortmanager, die ein Masterpasswort nutzen, relativ einfach ?gefischt? werden k?nnen. Oder ob es sich zeigt, dass sie eigentlich viel sicherer sind als wir denken.

Ausserdem erwarten wir Erkenntnisse darüber, was einen Passwortmanager sicherer macht gegenüber Phishing Angriffen. Die Passwortmanager funktionieren alle etwas anders, manche ?ffnen zum Beispiel ein Pop-up, andere einen neuen Browser-Tab mit eigener URL. Wir hoffen, dass wir mit der Studie genug Daten erhalten, um Tendenzen auszumachen, ob gewisse Designentscheide einen Passwortmanager sicherer machen k?nnten.

Wie viele Personen sind auf die Mail reingefallen?
Wir haben ca. 32 000 Personen angeschrieben. Auf den Link geklickt haben etwa 35%. Davon wiederum haben ungef?hr 70% auf der Webseite eine Eingabe gemacht, wobei sicherlich nicht alle ihr echtes Passwort eingegeben haben. Aufgrund der hohen Qualit?t der Phishing-Mail liegt das ungef?hr im erwarteten Rahmen. Für genauere Angaben und Infos zu den Passwortmanagern müssen wir erst die Daten auswerten.

Müssen sich die Personen, die ihr Passwort eingegeben haben Sorgen machen?
Nein. Egal was sie auf der Webseite eingegeben oder gemacht haben, wir haben keine Passw?rter gespeichert. Wir k?nnen auch nicht sagen, wer ein richtiges Passwort eingegeben hat und wer nicht. Die Auswertung erfolgt anonym. Es muss einem aber auch nicht peinlich sein, wenn man auf die Simulation hereingefallen ist. Das kann jedem und jeder passieren, gerade wenn man im Stress ist und nicht so genau schaut.

Woran erkenne ich denn eine Phishing-Attacke?
Vertrauen Sie ruhig auf Ihr Gefühl und sind Sie E-Mails gegenüber etwas misstrauisch. Wenn Ihnen irgendwas komisch vorkommt, dann lohnt es sich genauer hinzuschauen. Bei Mails mit eingebetteten Links und Anh?ngen ist generell Vorsicht geboten. Denn Phishing-Attacken zielen immer darauf ab, dass ich eine Aktion mache: ich soll auf einen Link klicken, etwas herunterladen oder einen Anhang ?ffnen. Das Wichtigste ist den Absender genau zu überprüfen. Grosse Organisationen wie die ETH Zürich haben ihre Mailserver so konfiguriert, dass nicht einfach Mails mit ihrer Adresse versendet werden k?nnen. Das heisst Angreifer nutzen Namen die ?hnlich klingen. In unserer Simulation z.B. die Endung ?elhz.ch? statt ?ethz.ch?. Wichtig ist sich bewusst zu sein, dass gerade bei mobiler Nutzung oft nur der Anzeigename zu sehen ist – in unserem Fall ?ETH 2024欧洲杯开户_欧洲杯APP下载-投注|官网 Services? – und der kann gef?lscht werden.

Eure Phishing-Mail wirkte sehr ausgefeilt und glaubwürdig. Wieso?
Ja, die E-Mail war absichtlich sehr überzeugend. Ein Grund dafür war unser Forschungsprojekt: Wir wollten untersuchen, wie sich die Leute auf der simulierten Phishing-Seite verhalten, nachdem die E-Mail-T?uschung erfolgreich war.

Ist eine solche Phishing-Mail realistisch?
Ja, absolut. Durch die riesigen Fortschritte im Bereich der generativen künstlichen Intelligenz k?nnen solche E-Mails in Sekunden generiert und perfekt in andere Sprachen übersetzt werden. Die Zeiten der mit Rechtschreibefehlern übers?ten E-Mails, die mit unglaubwürdigen Erbschaften werben, ist vorbei. Zus?tzlich k?nnen die Daten, die man für ein solches Phishing braucht (wie Namen, ETH-Abteilung, E-Mailadressen usw.), sehr einfach im Internet gefunden werden. Leider ist es auch so, dass die ETH eine grosse Menge sogenannter ?Spear-Phishing-Angriffe? verzeichnet, die auf bestimmte Personen oder Abteilungen abzielen und sehr personalisiert sind. Solche E-Mails werden nur in kleinen Zahlen verschickt, was es für Mail-Filter schwieriger macht, das Phishing zu erkennen.

Neu markiert die ETH externe E-Mails normalerweise als ?extern?. Wieso war das bei eurer Phishing-Mail nicht der Fall?
Wir haben uns wegen unseres Forschungsprojekts entschieden, das ?extern?-Label nicht anzuzeigen. Die E-Mail sollte m?glichst echt wirken, um zu sehen, wie sich die Teilnehmenden auf der Webseite verhalten. Wir sind uns bewusst, dass dadurch auch Leute auf den Link geklickt haben, die das mit dem ?extern?-Label nicht getan h?tten. In dem Fall k?nnen sie sich damit tr?sten, dass sie eine echte, externe Phishing-Mail h?chstwahrscheinlich erkannt h?tten.
Man sollte sich aber trotzdem nicht nur auf diese Markierung verlassen: Sie wird bei vielen Mailboxen noch nicht angezeigt und von einigen E-Mail-Clients gar nicht unterstützt (sie fehlt z.B. bei der Mail-App auf iOS). Das kann schnell für ein Gefühl der falschen Sicherheit sorgen, vor allem wenn man mit verschiedenen Ger?ten arbeitet. Im Ausnahmefall k?nnten auch ein Konfigurationsfehler oder eine gehackte ETH-Mailadresse Gründe dafür sein, dass eine Phishing-Mail nicht als extern markiert wird. Deshalb sollte man sowohl die E-Mail als auch die ge?ffnete Webseite immer auf weitere wichtige Phishing-Indikatoren prüfen, bevor man ein Passwort eingibt. Das geht schneller als man denkt (siehe Intern Aktuell-Artikel vom 13.12.2022).

Was mache ich, wenn ich eine Phishing-Attacke vermute?
Wenn man sich unsicher ist, dann sollte man lieber einmal zu viel als zu wenig das Mail zum Check an die Informatikdienste schicken. Ich pers?nlich bin schon misstrauisch, wenn ich eine Mail mit Anhang erhalte, weil das so selten passiert. Aber mir ist auch klar, dass es für jemanden der in der Studienadministration oder im HR arbeitet, ganz selbstverst?ndlich ist viele Mails mit unterschiedlichsten Anh?ngen zu bekommen.

Ist es denn ein Sicherheitsrisiko, wenn ich die Mail an die Informatikdienste weiterleite?
Am sichersten ist es, wenn ich die Mail als Anhang weiterleite. Kritisch wird es, wenn ich auf einen Link klicke und ein Passwort eingebe. Wenn das passiert, ist es wichtig, dies sofort zu melden, damit der Schaden minimiert werden kann.

Habt Ihr viel Feedback bekommen?
Wir haben überraschend viel positives Feedback bekommen. Viele Leute verstehen, dass dieses Thema wichtig ist und haben auch die M?glichkeit genutzt, uns noch weitere Fragen zuzuschicken. Wie erwartet gab es aber auch negatives Feedback: Vor allem die Tatsache, dass wir ?V-Vergünstigungen als K?der benutzt haben, kam nicht überall gut an.

Wieso habt ihr euch dafür entschieden?
Eine simulierte Phishing-Mail ist immer eine Gratwanderung. Einerseits soll sie attraktiv sein wie eine Echte, weil die ?bung sonst keinen Sinn macht. Andererseits sollte sie die Teilnehmenden emotional so wenig wie m?glich belasten, was einem Angreifer natürlich egal w?re. Eine Umfrage zu Mensa-Menüs h?tte wohl niemanden gest?rt, aber auch viele schlicht nicht interessiert. Als Gegenbeispiel w?re eine Mahnung vor Exmatrikulation wohl auf offene Ohren gestossen, aber ethisch klar nicht vertretbar gewesen. Die ?V-Vergünstigungen waren ein Kompromiss und wurden von der Ethikkommission bewilligt.

Wird es zukünftig weitere solche Phishing-Simulationen an der ETH geben?
Von unserer Seite ist für das aktuelle Projekt nichts mehr geplant, aber ich kann nicht für die ETH sprechen. Ich k?nnte mir ein Folgeprojekt aber gut vorstellen, da die Zusammenarbeit mit den Informatikdiensten sehr gut war, insbesondere auch mit Matteo Corti und Johannes Hadodo, dem neuen Leiter Cyber- und Information Security (CISO). Ich habe wahrscheinlich mit einem Dutzend Leuten aus verschiedensten Abteilungen gesprochen und es war immer sehr konstruktiv. Auch von der Schulleitung wurden wir in unserem Vorhaben unterstützt. Das ist keine Selbstverst?ndlichkeit und ich weiss das sehr zu sch?tzen. Und das Thema Phishing bleibt natürlich auch zukünftig für die ETH relevant.

Noch Fragen?

Falls Sie noch Fragen haben zu der Phishing-Simulation finden Sie weitere Informationen auf der Debriefingwebseite der Studie.

Bei generellen Fragen zur IT-Sicherheit finden Sie Informationen auf den Seiten der Informatikdienste.

Wenn Sie vermuten oder wissen, dass Sie es mit einer Phishing-Mail zu tun haben, leiten Sie diese bitte an weiter.
Wichtig ist, dass Sie die Mail als Anhang weiterleiten. Im Outlook macht man das über die Funktion ?Als Anlage weiterleiten?.

Ihren zust?ndigen IT-Support müssen Sie nur kontaktieren, falls Sie auf den Link in der E-Mail geklickt haben.

Immer aktuell informiert

M?chten Sie stets die wichtigsten internen Informationen und News der ETH Zürich erhalten? Dann abonnieren Sie den Newsletter ?Intern aktuell? und besuchen Sie regelm?ssig Staffnet, das Info-??Portal für ETH-??Mitarbeitende.

JavaScript wurde auf Ihrem Browser deaktiviert