Viele Einbrüche in Computernetze starten mit einem einfachen Phishing Mail. Ein unbedachter Klick auf eine URL oder ein bösartiges Attachment und schon nimmt das Unheil seinen Lauf. Damit es nicht soweit kommt, ist es wichtig, die Mitarbeitenden entsprechend regelmässig zu schulen. Dazu bieten verschiedene Hersteller Trainings-Werkzeuge an. In meinem Artikel zum «Security Awareness Month» (www.tec-bite.ch/security-awareness-month/) habe ich kurz etwas darüber geschrieben. Als IT Security Team sollte man die Benutzer auf die Gefahren von Phishing Mails aufmerksam machen und sie in die Erkennung solcher Mails miteinbeziehen: Sie sollen verdächtige Mails dem SOC melden. Und damit das Gelernte nicht schnell wieder vergessen geht, muss man bekanntlich regelmässig üben.

Dazu können künstliche, harmlose Phishing Kampagnen nützlich sein, die vom Security Team durchgeführt werden. Im Folgenden möchte ich anekdotisch berichten, wie eine solche Kampagne aussehen könnte und was die Schwierigkeiten dabei sind.

Planung der Phishing Kampagne

Phishing Mails gibt es in verschiedensten Ausführungen. Als ganz einfache, generische Mails, welche ein allgemeines Publikum ansprechen («Sie haben beim Wettbewerb gewonnen. Klicken Sie hier, um Ihre Kontaktdaten zu hinterlegen», «Ihr Paket konnte nicht zugestellt werden»). Oder als sehr spezifische sogenannte Spear-Phishing Mails, welche nur auf eine bestimmte Person oder eine kleine Personengruppe zugeschnitten sind. Dazu ist vom Angreifer etwas Recherche zur angesprochenen Person nötig (Art der Arbeitstätigkeit, Kontakte, aktuelle Interessen, in der Vergangenheit besuchte Messen oder Kongresse, Ferienabwesenheiten, …). Suchmaschinen und Kontaktnetzwerke liefern hier schnell erste Ansatzpunkte. Ist ein Phishing Mail gut formuliert, plausibel und weckt die Interessen des Angeschriebenen, so ist es auch durch geschulte Personen nur sehr schwierig zu erkennen.

Dasselbe gilt natürlich auch für durchs Security Team durchgeführte Phishing Kampagnen. In diesem Beispiel hier habe ich einen Mittelweg gesucht: Nicht zu plump, aber auch nicht allzu fies.

In den letzten beiden Jahren haben immer mehr Firmen interne Kommunikations- und Kollaborations-Plattformen wie Microsoft Teams in Betrieb genommen. Je nach Einstellung schickt Teams per Mail eine Information an die Benutzer:innen, dass sie in der Abwesenheit eine Nachricht erhalten haben. Ein entsprechendes Template steht praktischerweise auch gleich im Cisco Security Awareness Training (www.cisco.com/c/en/us/products/collateral/security/email-security/at-a-glance-c45-744492.html) als Template für eine Phishing Kampagne zur Verfügung. Dieses habe ich noch kurz ein bisschen angepasst.

Phishing Simulation

Die Empfänger:innen setzten tatsächlich Teams ein. Dies allerdings noch nicht so lange, dass sie jetzt genau wussten, wie ein solches Mail im Detail aussieht und unter welchen Umständen es verschickt wird.

Den Mailversand hatte ich schön für Montagmorgen geplant, so dass die Mails in Postfach erschienen, bevor bei den Empfänger:innen der erste Kaffee der Woche hätte richtig wirken können. Und dann hiess es abwarten und die Reaktionen beobachten.

Reaktionen

Ich hätte erwartet, dass die Benutzer:innen entweder auf die Links klicken (schlecht), das Mail einfach löschen (gut) oder den zuständigen Stellen melden würden (noch besser). Dies alles ist natürlich auch geschehen.

Knapp die Hälfte der Leute hat das Mail sofort gelöscht. Den einen kam das Mail verdächtig vor. Andere löschen solche automatisierten Mails sowieso immer sofort und haben gar nicht realisiert, dass es sich hier um einen Phishing-Versuch gehandelt hat. Etwa 20% haben das Mail nur aufgemacht. Dies erkennt man daran, dass der Mail Client die eingebundenen Bilder nachgeladen hat. Und rund 30% haben tatsächlich auf den enthaltenen Link geklickt.

Die Phishing Kampagne hatte innerhalb der Firma einiges an Reaktionen ausgelöst.

    • Es wurde beim angeblichen Absender nachgefragt, was es mit diesem angesprochenen Dokument auf sich hat, da dieses nirgends in Teams zu finden sei.
    • In den entsprechenden Arbeits-Teams und mit dem direkten Chef wurde spekuliert, was denn da los sei.
    • Nachdem nach diesen Diskussionen klargeworden war, dass dies zum internen Training gehörte, haben wohl auch einige absichtlich auf den Link geklickt, um zu schauen, was passiert.
    • Die Mails wurden auf verschiedensten Wegen gemeldet: dem direkten Chef, dem Helpdesk, dem persönlichen Kollegen aus der IT, dem Sicherheitsbeauftragten, …

Learnings

Die erste einfache Erkenntnis ist, dass es für die User sehr einfach sein muss, verdächtige Mails zu melden. So dass sie nicht auf die Idee kommen, dem Vorfall selber nachzugehen. Und es muss auch allen klar sein, bei welcher Stelle solche Vorfälle gemeldet werden können.

Zweitens ist mir aber auch noch deutlicher bewusstgeworden, dass die Erkennung von Phishing Mails auch für geschulte Leute tatsächlich schwierig ist. Nicht, weil die Benutzer:innen zu unbedarft wären. Nein, sondern weil die User-Interfaces vieler Applikationen es schlicht unnötig schwierig machen oder gar verunmöglichen, gefälschte Mails erkennen zu können. Was ich damit meine:

In einem Phishing Awareness Training bringt man den Leuten unter anderem bei, bei verdächtigen Mails den Absender genau anzuschauen und darauf zu achten, wohin Links zeigen. In Outlook sah das Mail aus der Kampagne folgendermassen aus (Hervorhebung durch mich):

Phishing Simulation

Man konnte also relativ leicht den ungewöhnlichen Absender erkennen. Wenn man mit der Maus auf dem Link verweilt, sieht man auch das verdächtige Ziel.

Liest man dasselbe Mail aber in einer App auf dem Smartphone, so wird es viel schwieriger:

Phishing Simulation

Die genaue Absenderadresse wird versteckt und wird erst sichtbar, wenn man auf «Microsoft Teams» klickt. Ähnliche Eigenheiten hat übrigens auch Outlook. Dito für den hier grün umrandeten Link. Man kann nicht einfach kurz mit dem Mauspfeil über den Link «hovern», um das wahre Ziel zu sehen. Je nach Finger ist der Link schnell angeklickt, bevor man weiss, wohin er führt.

Zusammenfassung

Aus dieser Beispiels-Phishing-Kampagne sieht man:

    • Phishing zu erkennen ist nicht einfach.
    • Die User-Interfaces vieler Mail-Clients erschweren die Erkennung von Phishing unnötig.
    • Phishing und Security Awareness Trainings sind wichtig und nützen etwas.
    • Es wird trotzdem immer jemanden geben, der auf ein Phishing Mail hereinfällt. Nicht weil derjenige doof ist, sondern weil dies jedem von uns passieren kann und auch passieren wird.
    • Mehrstufige technische Schutzmassnahmen sind wichtig: Auf dem Mailgateway, um die grosse Masse der Standard-Phishing-Mails zu blockieren. Aber auch auf dem Endpoint, um die Auswirkungen eines falschen Klicks zu minimieren.
    • Die Benutzer:innen müssen wissen, bei welcher zentralen Stelle sie verdächtige Mail melden können, damit das SOC auch schnell reagieren kann. So sind die Mitarbeitenden ein aktiver Teil von Security Schutzmassnahmen.