durchfأ¼hrung eines integrierten anti-phishing-trainings • spear-phishing mittels e-mail,...

Download Durchfأ¼hrung eines integrierten Anti-Phishing-Trainings • Spear-Phishing mittels E-Mail, Intervention

If you can't read please download the document

Post on 18-Oct-2020

0 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • Fakultät Informatik Professur Datenschutz und Datensicherheit

    Durchführung eines integrierten Anti-Phishing-Trainings

    64. DFN-Betriebstagung – AK Mail

    Referent: Stephan Escher

  • Berlin, 03.03.2016 Integriertes Training

    Inhaltsübersicht

    1. Einführung

    2. Integriertes Training

    3. Umsetzung einer Trainingskampagne

    4. Ergebnisse und Auswertung

    5. Zusammenfassung und Ausblick

    Folie 2 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Einführung

    • Phishing = Teilbereich des Social Engineering

    • Ausnutzung sozialer Interaktion

    • Nachahmung vertrauensvoller digitaler Kommunikation

    • Ziel: Informationsdiebstahl

    Folie 3 von 19

    w w

    w .s ec u

    r ity ca rt o o n . co

    m

  • Berlin, 03.03.2016 Integriertes Training

    Einführung

    Folie 4 von 36

    • 1 – Informationsbeschaffung

     z.B. Webauftritte von Firmen, Soziale Netzwerke, ...

  • Berlin, 03.03.2016 Integriertes Training

    Einführung

    Folie 4 von 36

    • 2 – Trägerangriff

     Kommunikationskanal: E-Mail, SMS, VOIP, ...  Vortäuschen einer vertrauten Identität  Kontext verleitet Ziel zu Interaktion

  • Berlin, 03.03.2016 Integriertes Training

    Einführung

    Folie 4 von 36

    • 3 – Weiterleitung auf manipulierte Phishing-Webseite

    • 3 – Installation von Schadsoftware durch Öffnen des Anhangs oder Drive-By-Downloads

  • Berlin, 03.03.2016 Integriertes Training

    Einführung

    Folie 4 von 36

    • 4 – Informationsdiebstahl durch Mithilfe des Nutzers oder Schadsoftware

     Einsatz: Wirtschaftsspionage, Identitätsdiebstahl,...  günstige Einstiegsmethode für APT Attacken  Auswirkung: 2013 - 5,9Mrd. US$ weltweit (RSA)

  • Berlin, 03.03.2016 Integriertes Training

    Einführung

    Ursachen

     Fehlendes Risikobewusstsein  Visuelle Täuschung  Begrenzte Aufmerksamkeit

    • Technische Maßnahmen ungenügend

    • Sensibilisierung der Nutzer wichtige Massnahme

    Problem: Motivation der Nutzer im Bereich der IT-Sicherheit

    Folie 5 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Inhaltsübersicht

    1. Einführung

    2. Integriertes Training

    3. Umsetzung einer Trainingskampagne

    4. Ergebnisse und Auswertung

    5. Zusammenfassung und Ausblick

    Folie 6 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Integriertes Training

    Ziel: Erhöhung der Motivation und Interesse an Trainingsmaterial

    • Konfrontation des Nutzers mit Phishing-Angriff während normalem Arbeitsablauf

    • Sofortige Intervention und Training bei Fehlverhalten

    Folie 7 von 36

  • • 1 – Senden des Trägerangriffes

     Simuliert oder Real  Meist simulierter E-Mail Angriff

    Berlin, 03.03.2016 Integriertes Training

    Integriertes Training - Ablauf

    Folie 8 von 36

  • • 1 – Senden des Trägerangriffes - Simulation + Training periodisch durchführbar + Zeitlich festlegbar + Angriffe anpassbar/erweiterbar - Arbeitsaufwand bei Erstellung der Materialien

    Berlin, 03.03.2016 Integriertes Training

    Integriertes Training - Ablauf

    Folie 8 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Integriertes Training - Ablauf

    Folie 8 von 36

    • 1 – Senden des Trägerangriffes

    • 2 – Intervention nach Interaktion (z.B. Link-Klick)

  • • 3 – Erweiterter Angriff mit Phishing-Webseite

     Simuliert oder Real

    Berlin, 03.03.2016 Integriertes Training

    Integriertes Training - Ablauf

    Folie 8 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Integriertes Training - Ablauf

    Folie 8 von 36

    • 3 – Erweiterter Angriff mit Phishing-Webseite

    • 4 – Intervention nach Eingabe sensibler Daten

  • Berlin, 03.03.2016 Integriertes Training

    Integriertes Training - Intervention

    • Arbeitsablauf des Nutzers klar unterbrechen

    • Effektive und verständliche Hinweise geben

    • Keine Angst vor digitaler Kommunikation erzeugen

    • Kein Handlungsbedarf ausgehend von simuliertem

    Angriff

    Folie 9 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Integriertes Training - Intervention

    • 3 Themengebiete: Hintergrundwissen, Hinweise zur

    Verhinderung, Aktive Mithilfe

    • Hinweise zur Verhinderung Erkennungshinweise vs. → Verhaltensregeln

     Erkennungshinweise häufig nicht eindeutig und ausnutzbar

     Verhaltensregeln zumindest für Sensibilisierung des Trägerangriffes sinnvoller

    Folie 10 von 36

  • Integriertes Training

    Integriertes Training - Intervention

    • Inhalt auf vorangegangenen Angriffsvektor beziehen

    • Multimediale Elemente helfen Sachverhalt interessanter zu gestalten

    Folie 9 von 36

    P. K u m

    ar ag u r u

    et a l., Te ac h i n

    g J o

    h n n y N

    o t to

    F all fo r Ph

    is h , 2

    0 1 0

  • Berlin, 03.03.2016 Integriertes Training Folie 10 von 36

    h tt p

    s :/ /e d u ca ti o

    n .a p

    w g .o

    rg /e d

    u ca tio

    n -re d

    ire ct -p ro

    g r am

  • Berlin, 03.03.2016 Integriertes Training

    Integriertes Training - Ablauf

    Folie 13 von 36

    • 5 – Vollständiger Test des Netzwerkes ohne Training

     Weiterleitung auf Fehlerseite oder Originalseite

  • Berlin, 03.03.2016 Integriertes Training

    Inhaltsübersicht

    1. Einführung

    2. Integriertes Training

    3. Umsetzung einer Trainingskampagne

    4. Ergebnisse und Auswertung

    5. Zusammenfassung und Ausblick

    Folie 14 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Umsetzung - Angriff

    • Simulation eines „außenstehenden“ Angreifers

    • Zielgruppe: 4348 Mitarbeiter der TU Dresden

    → Crawling aus TU Telefonverzeichnis

    • Spear-Phishing mittels E-Mail, Intervention direkt nach Fehlverhalten

    Folie 15 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Umsetzung - Angriff

    • Integrierte Phishing-Elemente

     Link tu-dres→ dn.de, versteckt hinter HTML Anchor Tags

     Anhang HTML Format →  Logo externer Inhalt (Web Bug) →

    Folie 16 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Umsetzung - Angriff

    Folie 12 von 36

  • Hamburg, 11.03.2015

    Umsetzung - Warnseite

     Erläuterung der Situation  Hinweis auf Forschungsarbeit  Button “Was bedeutet das” - Messung der Motivation

    Folie 18 von 36Integriertes Training

  • Hamburg, 11.03.2015

    Umsetzung - Trainingsseite

     Erläuterung der Situation  3 Themengebiete: Verstehen, Vermeiden, Helfen

    Folie 19 von 36Integriertes Training

  • Berlin, 03.03.2016 Integriertes Training

    Umsetzung - Trainingswebseite

    • 2.1 Verstehen

    Erläuterung des Phishings anhand einer Story-basierten Timeline

    Gibt Begründung warum Nutzer etwas verändern sollte

    Folie 20 von 36

  • Berlin, 03.03.2016

    Umsetzung - Trainingswebseite

    Folie 21 von 36

    • 2.2 Vermeiden

     6 Umgangsregeln für E-Mail Kommunikation  Button „Tipps vom Prof(i)“ weitere Hilfestellungen →

    Integriertes Training

  • Berlin, 03.03.2016 Integriertes Training

    Umsetzung - Trainingswebseite

    • 2.3 Helfen

     Nutzer Möglichkeit aufweisen aktiv gegen Phishing mitzuwirken

     Kontaktstellen, Fragenkatalog

    Folie 22 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Umsetzung - Durchführung

    • Grundlage: SPT (GPL), Entwicklung eingestellt

    • Erweiterungen u.a. Anonymisierung der

    Kampagnendaten, Responsive Design, Phishing-

    Anhang/Web Bug, Statistiken, ...

    • Server im internen Netzwerk, Versand über lokalen

    MTA (Postfix)

  • Berlin, 03.03.2016 Integriertes Training

    Umsetzung - Durchführung

    • Erfasste Informationen:

     Zeitpunkt des Absendens der E-Mail  Interaktionen des Nutzers  Zeitpunkt dieser Aktionen  Systeminformationen (Browser, -Plugins, BS,...)

    • Anonymisiert gespeichert

    • Response-ID enthielt Fakultät, Geschlecht, Fachrichtung

    Folie 24 von 36

  • Berlin, 03.03.2016 Integriertes Training

    Inhaltsübersicht

    1. Einführung

    2. Integriertes Training

    3. Umsetzung einer Trainingskampagne

    4. Ergebnisse und Auswertung

    5. Zusammenfassung und Ausblick

    Folie 25 von 36

  • Berlin, 03.03.2016

    Ergebnisse und Auswertung

    • > ¼ der Mitarbeiter (28,5%) Opfer des Angriffes

    (1241/4348)

    • 16,4% (711) Mitarbeiter luden das Logo nach

    Folie 26 von 36

    Beides (186)

    Anha