Klassische Phishing-Simulationen sind tot, lang lebe der Phishing Drill 

Was sind Phishing-Simulationen und welchen Zweck haben sie bisher verfolgt? 

Phishing-Simulationen werden bisher als eine etablierte Methode eingesetzt, um Mitarbeitende gegenüber der Gefahr, welche von potentiell schädlichen E-Mails ausgeht, zu sensibilisieren und zu schulen.   

Bei klassischen Phishing-Angriffen per E-Mail wird ein Szenario ausgearbeitet, welches einer authentischen E-Mail sehr nahekommt. Allerdings verweist der Link in der E-Mail nicht auf die zu erwartende Website, sondern auf eine präparierte nachgebaute Seite eines Angreifers. Dies verfolgt häufig den Zweck, Nutzerdaten abzufangen und für weitergehende Angriffe zu nutzen. 

Die sogenannte Phishing-Simulation verfolgt denselben Zweck. Hierbei folgt allerdings kein Angriff auf das Unternehmen, sondern ein Bericht, welcher die Ergebnisse der Simulation aufarbeitet. Mit diesem Bericht soll ein Unternehmen zum einen ein Gefühl dafür bekommen, wie die Mitarbeitenden auf Phishing-E-Mails reagieren, zum anderen einen Überblick erhalten, wie gefährdet Sie durch Phishing sind. Dazu sei kurz erwähnt: Am Ende kann eine einzelne Reaktion auf eine Phishing-E-Mail, z. B. die Eingabe valider Zugangsdaten, ausreichen, um einen Angriff auf das Unternehmen erfolgreich zu machen. Es sollten immer weitere Maßnahmen getroffen werden, um das Unternehmen abzusichern. Beispielsweise sei hier zu nennen: Der Aufbau einer Zero-Trust-Architektur, Nutzung von Passkeys, Einsatz von Multifaktor-Authentifizierung etc. 

Warum sind klassische Phishing-Simulationen doch nicht so vielversprechend wie bisher erwartet? 

Eine kürzlich veröffentlichte Studie, über die Heise bereits berichtet hat, legt nun den Schluss nahe, dass Phishing-Simulationen, wie sie bisher durchgeführt wurden, doch nicht so vielversprechend sind, wie häufig behauptet. Die Ergebnisse der Studie legen nahe, dass Phishing-Simulationen nur zu einem sehr geringen Grad als alleinstehende Awareness-Maßnahme weiterhelfen. 

Aber was bedeutet das nun genau? Sollte gänzlich auf Phishing-Simulationen verzichtet werden, oder muss die Erwartungshaltung an Phishing angepasst werden? 

Die Autoren haben in einer Phishing-Simulation mit ca. 19.500 Mitarbeitenden monatlich Phishing-E-Mails an alle Mitarbeitenden versendet und dabei die Effektivität verschiedener Schulungsmaterialien, welche direkt nach einem Klick auf den präparierten Link angezeigt wurden, untersucht. Dabei zeigen sie auf, dass der Schulungserfolg durch Phishing-Simulationen, wider der bisherigen Erwartung, nicht oder nur minimal gegeben ist. Im Vergleich der verschiedenen Kampagnen über einen Zeitraum von acht Monaten konnte keine signifikante Änderung des Klickverhaltens der Mitarbeitenden dokumentiert werden. Ein Vergleich des Durchführungsdatums einer jährlichen webbasierten Sicherheitsschulung mit dem Klickverhalten einzelner Mitarbeitenden zeigte, dass solche Trainings nahezu keinen Einfluss auf die Awareness der Mitarbeitenden hatten. Interaktives Trainingsmaterial, welches nach einem Klick angezeigt wurde, konnte zur Steigerung der Awareness beitragen, jedoch wurde dieses Trainingsmaterial in den allermeisten Fällen nicht betrachtet. 

Deshalb sollten Phishing-Simulationen nur als ein Bestandteil eines Gesamtkonzepts für Awareness betrachtet werden. Um die Sicherheit unmittelbar zu erhöhen, sollte auf technische Maßnahmen gesetzt werden. Beispielsweise kann man mit der Verwendung von FIDO2 bzw. dem Einsatz von Passkeys die Möglichkeit eines Phishing-Angriffs zum Abgreifen von Zugangsdaten eliminieren. Jedoch sollte der Faktor Mensch dadurch nicht außer Acht gelassen werden, da mittels Phishing nicht nur Passwörter abgegriffen werden können. Durch Social Engineering könnten Mitarbeitende in schadhaften Mails oder in Telefonanrufen beispielsweise dazu bewegt werden, Überweisungen zu tätigen oder schadhaften Code auszuführen. Der Modus, wie geschult wird, muss sich also ändern.  

Es sollte allen Personen im Unternehmen klar sein, worauf es bei E-Mails zu achten gilt und vor allem, welche Möglichkeiten es im Unternehmen gibt, um Phishing E-Mails zu melden oder prüfen zu lassen. Hierzu sollte eine niederschwellige Lösung wie z. B. ein extra Button im E-Mail-Client verfügbar sein. Eine kurze Zeit bis zur ersten Meldung und eine hohe Melderate sind ausschlaggebend, damit ein Unternehmen schnell auf Phishing-Angriffe reagieren und Schäden abwenden kann. 

Wofür können Phishing-Simulationen trotzdem noch verwendet werden? 

Bisher wurden Phishing-Simulationen als Schulungsmaßnahme betrachtet, welche eingesetzt wird, um den Mitarbeitenden eine reale Erfahrung in einer geschützten Umgebung zu bieten. Dabei haben die Mitarbeitenden die Möglichkeit, Fehler zu machen, ohne Konsequenzen zu fürchten. Es wurde bisher davon ausgegangen, dass die direkte Präsentation von Schulungsmaterial nach dem Fehlverhalten einen erhöhten Schulungseffekt im Vergleich zu normalen Schulungen hat. Der Weiterbildungsaspekt tritt bei solchen Simulationen als alleinstehende Maßnahme allerdings nicht wie gewünscht ein. 

Nichtsdestotrotz kann ein Unternehmen durch Phishing-Simulationen weiterhin interessante Einsichten erhalten, gerade um einen ersten Überblick über die Resilienz zu bekommen. Die Szenarien sollten jedoch individuell auf den Kunden und die gewünschten Zielgruppen abgestimmt sein. Wenn in den Phishing-Simulationen im Gegensatz zur Studie auch die Login-Eingabe-Rate und die Melderate erhoben werden, kann ein sinnvoller Überblick über die potenziellen Auswirkungen eines Phishing-Angriffs aufgezeigt werden. Eine möglichst hohe Melderate ist für die IT-Abteilung wichtig. Nur so kann beispielsweise entschieden werden, ob eine kurzfristige Kommunikation an alle Beschäftigten notwendig ist. Hierbei sind insbesondere eine kurze Zeit bis zur ersten Meldung und wohldefinierte nachgelagerte Prozesse notwendig, um schnell agieren zu können und Schaden durch übermittelte Zugangsdaten einzugrenzen. 

Auch hierbei sei gesagt, natürlich handelt es sich bei den Ergebnissen einer Phishing-Simulation lediglich um eine grobe Momentaufnahme. Verminderte Klickrate durch Abwesenheiten, eine interne Kommunikation über Phishing-Aktivitäten oder das Klicken und Eingeben von Daten aus Neugierde können die Ergebnisse verfälschen. Dennoch kann die Simulation mit begleitender Kommunikation das Thema Phishing bei den Mitarbeitenden in Erinnerung rufen. 

Gibt es Alternativen zu klassischen Phishing-Simulationen? 

Wenn Phishing-Simulationen nun nicht die Erwartungen erfüllen können, die man sich wünscht: Gibt es Alternativen, die einen anderen Ansatz verfolgen? 

Tatsächlich gibt es eine ähnliche Schulungsmaßnahme mit einem anderen Ansatz. Im Security Blog von Google wurden sogenannte Phishing Drills vorgeschlagen. Bei einem Phishing Drill ist der Aufbau der Maßnahme im ersten Schritt ähnlich. Der oder die Mitarbeitende erhalten eine E-Mail. Diese E-Mail enthält allerdings eine klare Aussage: „Ich bin eine Phishing-E-Mail!“ und „an den folgenden Kriterien kann dies festgestellt werden“. Des Weiteren wird den Mitarbeitenden der interne Meldeweg erklärt und sie werden animiert, den Meldeweg für diese E-Mail einmal praktisch zu üben, um den Ablauf im Umgang mit erkannten Phishing E-Mails zu verinnerlichen. Bei klassischen Phishing-Kampagnen interagieren üblicherweise ausschließlich die Mitarbeitenden mit dem Schulungsmaterial, welche auf die simulierte Phishing-E-Mail hereingefallen sind. Diese Thematik wird auch in der genannten Studie adressiert. Ein Phishing-Drill wirkt dem entgegen, indem alle Mitarbeitenden in die Maßnahme einbezogen werden. Er kann wie eine Brandschutzübung verstanden werden, in der die Mitarbeitenden die relevanten Meldewege und Prozesse in Erinnerung rufen und aktiv durchlaufen. 

Insgesamt können klassische Phishing-Simulationen alleinstehend keine umfassende Wirkung entfalten. Auf die jeweilige Umgebung abgestimmte Kampagnen sollten vielmehr als Teil eines übergeordneten Ansatzes mit weiteren Maßnahmen, wie dem Schaffen einer guten Meldekultur ohne ein Gefühl der Angst, ausgereiften und zielgruppenorientierten Schulungsformaten, Phishing-Drills und einer bewussten internen Kommunikation, angesehen werden. 

Referenzen:

Smishing (im)possible? Phishing-Angriffe per SMS häufen sich

In den letzten Tagen gehen vermehrt verdächtige SMS-Nachrichten bei Mitarbeiterinnen und Mitarbeitern von Unternehmen und Behörden ein, mit Texten wie „Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. [Link]“. Bei dieser Art von SMS handelt es sich um einen Phishing-Versuch per SMS, auch „Smishing“ genannt. Dies bezeichnet einen Betrugsversuch, bei dem automatisiert oder gezielt SMS mit irreführenden Informationen versandt werden, um die Empfänger zur Herausgabe sensibler Daten zu verleiten. Unser Artikel erklärt, wie die Angriffe funktionieren und wie man sich dagegen schützen kann.

https://research.hisolutions.com/2021/01/phishing-per-sms-smishing-angriffe-haeufen-sich/

Phishing per SMS – Smishing-Angriffe häufen sich

Von Thomas Fischer und Jann Klose, HiSolutions AG.

In den letzten Tagen gehen vermehrt verdächtige SMS-Nachrichten bei Mitarbeiterinnen und Mitarbeitern von Unternehmen und Behörden ein, mit Texten wie „Ihr Paket wurde verschickt. Bitte überprüfen und akzeptieren Sie es. [Link]“.

Bei dieser Art von SMS handelt sich um einen Phishingversuch per SMS, auch Smishing genannt. Dies bezeichnet einen Betrugsversuch, bei dem automatisiert oder gezielt SMS mit irreführenden Informationen versandt werden, um die Empfänger zur Herausgabe sensibler Daten zu verleiten.

Wie funktioniert Smishing?

Beim Smishing versenden die Täter SMS im Namen von vertrauenswürdigen Institutionen wie Banken oder Telekommunikationsanbietern mit dem Vorwand eines fingierten Problems. Einige Beispiele sind:

  • Eine Bank meldet merkwürdige Aktivitäten auf dem Konto
  • Ein Dating-Service bestätigt die vermeintliche Eröffnung eines Premiumkontos
  • Der Telefonanbieter erhebt auf einmal Extragebühren für gewisse Leistungen
  • Man erhält eine Rückzahlung aus einem Bonusprogramm
  • Man wird beschuldigt, Zahlungen nicht getätigt zu haben
  • Ein Paket wurde verschickt, und es gibt Probleme mit der Zustellung

Alle SMS sollen dazu verleiten, einen Link anzuklicken und dort dann Daten einzugeben. Entweder wollen die Cyberkriminellen persönliche Daten stehlen, die sie nutzen können, um sich zu bereichern, oder die Nutzerinnen und Nutzer werden verleitet, Malware herunterzuladen, die sich permanent auf dem Smartphone installiert.

Wie kann ich mich gegen Smishing schützen?

Der Schutz gegen Smishing ist ganz einfach: Tatsächlich muss man gar nichts tun, um sicher zu sein. Der Angriff kann nur Schaden anrichten, wenn der Köder geschluckt wird. Wird die SMS einfach löscht, kann nichts weiter passieren.

Woran kann ich Smishing erkennen?

Was ist zu beachten, um solche Angriffe zu bemerken? Einige Faustregeln helfen:

  • Kein Finanzinstitut oder Händler sendet eine Textnachricht, um Kontodaten zu erfragen oder zur Bestätigung der PIN aufzufordern. Wer sicher gehen will, ruft Bank oder Händler direkt an, um nachzufragen.
  • Kein Klicken auf einen Link oder eine Telefonnummer in einer Nachricht, bei der man sich nicht sicher ist.
  • Ausschau halten nach verdächtigen Nummern, die nicht wie typische Telefonnummern anmuten, z. B. „5000“. Diese Nummern verweisen oft auf E-Mail-zu-SMS-Services, die häufig von Betrügern genutzt werden, um die Preisgabe der echten Telefonnummern zu vermeiden.
  • Möglichst keine Speicherung von Kreditkarten- oder Banking-Informationen auf dem Smartphone – oder aber die Verwendung eines sicheren Passwortsafes. Wenn die Informationen gar nicht erst vorhanden sind, können Diebe sie auch nicht stehlen, selbst wenn sie Malware auf dem Handy installieren.

Meldung von Smishing-Angriffen, um auch andere Benutzer zu schützen.

Beim Smishing – genau wie beim Phishing – geht es darum, möglichst viele Nutzerinnen und Nutzer hinters Licht zu führen. Bei dieser Methode verlassen sich Kriminelle darauf, dass ein Teil der Opfer mitspielt und auf einen Link klickt oder Informationen preisgibt. Der einfachste Schutz vor solchen Angriffen ist tatsächlich, ganz einfach nichts zu tun. Diese Awareness muss sich allerdings möglichst weit verbreiten

Bitte warnen Sie andere Nutzer in Ihrer Organisation – zum Beispiel durch eine Meldung an den IT-Sicherheitsbeauftragten (IT-SiBe). Und sollte doch einmal ein Smishing / Phishing gegen Sie geklappt haben, kann die sofortige Meldung des Vorfalls helfen, Schäden von der Organisation abzuwenden.

Oh Autsch! OAuth-Phishing

Multi-Faktor-Authentisierung gehört inzwischen zum Stand der Technik und ist regelrecht ein Standard im stärker exponierten Cloud-Umfeld. Um ihren Erfolg beim Abgriff von Zugangsdaten weiterhin zu sichern, nutzen Angreifer nun Authentisierungstoken für Cloud-Apps, denn: Wurde eine Angreifer-App mit ausreichend Berechtigungen versehen, können darüber weitreichende Schäden in der gesamten IT-Umgebung verursacht werden. Inzwischen warnt Microsoft Unternehmenskunden vor dieser Angriffsmethode. Es gibt also genug Gründe, sich mal mit den methodischen Details auseinanderzusetzen.

OAuth-Phishing

Im Rahmen von COVID-19 wurden viele neue Phishing-Kampagnen verzeichnet – darunter auch sogenannte OAuth-Phishing-Angriffe gegen Office 365. Hierbei werden Phishing-Mails an Benutzer gesendet, die, wenn sie auf den in der Mail enthaltenen Link klicken, gefragt werden, ob sie Berechtigungen an eine App übergeben wollen. Mit der Bestätigung autorisiert der Benutzer dann die App für den Zugriff auf seine Daten. Der Ablauf des OAuth-Phishings ist in der untenstehenden Abbildung dargestellt.

Ablauf OAuth-Phishing

Doch die Vorgehensweise ist nicht neu. Bereits 2017 kam es zu einer großen Phishing-Welle, die Google Docs-Benutzer dazu einlud, ein geteiltes Dokument aufzurufen. Für diese Angriffe mittels OAuth-Apps werden die Funktionalitäten des OAuth-Protokolls genutzt. Mit OAuth kann ein Benutzer einer Anwendung den Zugriff auf seine Daten erlauben, die von einem anderen Dienst bereitgestellt werden. Der Zugriff der Anwendung erfolgt dabei ohne Benutzerkennung und Passwort. Somit können auch eine Passwortänderung oder die Einführung einer Multifaktorauthentifizierung die Vergabe der Berechtigungen nicht mehr rückgängig machen.

Es wird hier also keine Schwachstelle im OAuth-Protokoll ausgenutzt. Stattdessen wird der Benutzer dazu gebracht, Berechtigungen zu übergeben, ohne dass ihm dies bewusst ist. Hierzu werden Links mit zu Office 365 oder Google G Suite ähnlich klingenden Domainnamen verwendet, und auch die App-Namen werden so gewählt, dass ein unbedarfter Benutzer diese mit dem jeweiligen Cloud-Dienst assoziiert.

Ein OAuth-Phishing-Angriff ist im Nachhinein schwer erkennbar, da kein schadhafter Code ausgeführt wird. Stattdessen können Daten gelesen und je nach Berechtigung auch geändert oder gelöscht werden. So kann ein Angriff unbemerkt bleiben oder wird erst dann bemerkt, wenn in einer weiteren Angriffsphase Daten verschlüsselt wurden oder ein CEO-Fraud begangen wurde.

Damit es erst gar nicht zu einem Zugriff mittels OAuth-Phishing kommt, sind folgende Maßnahmen zu empfehlen:

  1. Schulung der Mitarbeiter, um OAuth-Phishing-Angriffe zu erkennen
  2. Drittanbieter-Apps nur mittels Whitelisting zulassen oder die Nutzung ganz untersagen
  3. In Office 365 können Drittanbieter-Apps mittels der CASB-Lösung von Microsoft (Cloud App Security) überwacht werden. Dieses Feature steht jedoch nur in der E5-Lizenz zur Verfügung.

Falls man vermutet, dass man mittels einer OAuth-App kompromittiert wurde, dann kann man dies in Office 365 über das von Microsoft für Office 365 veröffentlichte Vorgehen[1] nachvollziehen und die Berechtigungen der jeweiligen App deaktivieren. Grundsätzlich sollte die verdächtige App deaktiviert werden und es sollten die Berechtigungen entzogen werden. Anschließend sollten die Zugriffsprotokolle überprüft werden, um den Umfang der Kompromittierung zu verstehen.


[1] https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/detect-and-remediate-illicit-consent-grants

Wolkenphisher: Cloud-Dienste als Angriffsvektoren

Cloud-Dienste entwickeln sich aufgrund ihrer Verbreitung und Vielfalt immer mehr zu möglichen Angriffsvektoren. Der Security-Journalist Brian Krebs berichtet von einem Fall, in dem ein Benutzerkonto eines cloudbasierten CRM nicht mittels Multi-Faktor-Authentifizierung geschützt war und hierdurch eine Phishing-Kampagne angeblich im Namen der Firma durchgeführt werden konnte.

https://krebsonsecurity.com/2019/08/phishers-are-angling-for-your-cloud-providers/