Phishing-Simulation - Debriefing

In den vergangenen Tagen haben Sie m?glicherweise eine E-Mail mit dem Betreff "Announcement: Public transport reimbursements" erhalten. Darin wurden Ihnen Rabatte für ?V-Tickets in Aussicht gestellt.

Hierbei handelte es sich um eine Phishing-Simulation, eine simulierte Cyber-Attacke. Leider müssen wir Ihnen mitteilen, dass es keine Rabatte gibt. Die erw?hnte E-Mail wurde nicht wie angegeben von den den ETH 必博官网,必博体育 Services versendet, sondern von der externen E-Mail-Adresse "info @ services.elhz.ch", die nicht mit der ETH in Zusammenhang steht. Das Login, auf welches sie verlinkt hat, war ebenfalls keine offizielle ETH-Seite. Beides waren T?uschungen und zeigen, wie Cyber-Kriminelle versuchen k?nnten, an Ihre Zugangsdaten zu gelangen.

Ihre Passw?rter waren nie in Gefahr. Ihre Sicherheit ist unsere h?chste Priorit?t. Wir versichern Ihnen, dass niemand Ihre Passw?rter in Erfahrung bringen konnte. Falls Sie auf der Phishing-Webseite etwas eingegeben haben (oder im gef?lschten Passwort-Manager, mehr dazu gleich), wurden diese Daten direkt verworfen und haben Ihr Ger?t nie verlassen.

Diese Phishing-Simulation wurde von der Ethikkommission und dem Datenschutzbeauftragten der ETH überprüft und von der Schulleitung bewilligt. Sie wird von ETH-Forschenden in Zusammenarbeit mit den Informatikdiensten durchgeführt.

Vielleicht wurden sie gefragt, Ihren Passwort-Manager zu entsperren. Zus?tzlich zum gef?lschten ETH-Login hat die Phishing-Webseite versucht, Ihren Passwort-Manager zu imitieren (falls Sie einen nutzen) und sie m?glicherweise nach Ihrem Master-Passwort gefragt. Dies war Teil eines Experiments der System Security Group (D-INFK).

Ihre Teilnahme ist vertraulich. Wir wissen nicht, ob Sie ein Passwort eingegeben haben oder nicht, da wir keine sensiblen Daten gesammelt haben. Zudem werten wir die Phishing-Simulation anonym aus und die ETH wird nichts über ihr pers?nliches Resultat in der Studie erfahren. Die Phishing-Simulation hat keine Konsequenzen für Sie.

Wir beantworten gerne wir Ihre Fragen...
Zu diesem Zweck haben wir weiter unten ein Q&A für Sie zusammengestellt. Es erkl?rt, was Phishing ist, wie Sie sich schützen k?nnen und worum es bei diesem Projekt ging. Falls weitere Fragen bestehen, z?gern Sie bitte nicht, uns über zu kontaktieren.

... h?tten aber auch ein paar Fragen an Sie.

Wir, die Autoren dieses Forschungsprojekts, w?ren Ihnen sehr dankbar, wenn Sie eine kurze Umfrage ausfüllen würden. Sie dauert nur einige Minuten, wird ebenfalls anonym ausgewertet und hilft uns, die Resultate der Studie besser zu verstehen. Die Umfrage findet auf der ETH SelectSurvey-Plattform statt.

 

Vielen Dank!

Bitte informieren Sie Ihr Umfeld noch nicht sofort. Diese Simulation erm?glicht es Ihren Kolleg*innen und Kommiliton*innen, ihre Anf?lligkeit für Phishing in einem geschützten Umfeld zu testen. Deshalb w?ren wir Ihnen dankbar, wenn Sie das Experiment nicht gleich verraten würden. Die Simulation endet am 1. November.

Wir danken Ihnen für Ihr Verst?ndnis und Ihren Beitrag zu unserer Forschung!

Freundliche Grüsse


Claudio Anliker & Daniele Lain
System Security Group (D-INFK)

Dr. Matteo Corti
Stellvertretender Leiter ID Applications
Informatikdienste ETH Zürich
 



Debriefing - Q&A

Wir hoffen, dass das folgende Q&A ihre Fragen beantworten wird. Andernfalls k?nnen Sie uns gerne via kontaktieren.
 


?ber Phishing

Was ist Phishing?

Phishing steht für "Password fishing" (Passw?rter fischen) und ist ein Cyber-Angriff, mit dem Kriminelle Sie dazu bringen wollen, sensible Informationen preiszugeben. Neben Passw?rtern sind auch Kreditkarteninformationen ein h?ufiges Ziel.

In den meisten F?llen geben sich die Angreifer als eine Person oder eine Organization aus und versenden E-Mails in deren Namen (in unserem Fall, die ETH 必博官网,必博体育 Services). Diese E-Mails enthalten normalerweise einen Link zu einer Phishing-Webseite, die verblüffend echt aussehen kann. Wenn man dort ein Passwort eingibt, landet es direkt bei den Kriminellen.

Um die T?uschung glaubwürdiger erscheinen zu lassen, werden in Phishing-Angriffen h?ufig E-Mail- und Webseitenadressen verwendet, die den Originalen sehr ?hnlich sind. So kann es schnell passieren, dass man Domains wie "elhz.ch" oder "eth-z.ch" mit "ethz.ch" verwechselt.

Cyberkriminelle nutzen Phishing-Angriffe oft, um sich zu bereichern (z.B. durch den Zugang zu E-Banking-Konten) oder in Unternehmen/Organisationen zu gelangen (z.B. durch das Phishing von Unternehmenspassw?rtern). So entstehen weltweit jedes Jahr Sch?den in Milliardenh?he.

Was ist der Zweck einer Phishing-Simulation?

Phishing-Simulationen k?nnen dabei helfen, Organisationen und Einzelpersonen auf echte Phishing-Angriffe vorzubereiten. Sie sind bei vielen Unternehmen und Institutionen g?ngige Praxis.

Sie bieten mehrere Vorteile:

  • Testen und Erh?hen des Phishing-Bewusstseins: Eine Phishing-Simulation zeigt, wie Teilnehmende auf Phishing reagieren, und hilft, das Bewusstsein für die Risiken zu sch?rfen: B?sartige E-Mails k?nnen sehr realistisch aussehen und wir sollten im Umgang mit E-Mails vorsichtig sein - vor allem, wenn sie unerwartet sind und verlockende Versprechungen machen.
  • Testen der Reaktion von IT-Verantwortlichen: Für Organisationen ist es entscheidend, Phishing-Angriffe schnell zu bew?ltigen, um Sch?den zu minimieren. Phishing-Simulationen erm?glichen es, die Reaktion des verantwortlichen Personals zu testen (z.B. wie früh sie den Angriff erkennen, Phishing-E-Mails l?schen, gehackte Konten isolieren, usw.).
  • Forschung: Die in einer Phishing-Simulation gewonnenen Daten k?nnen genutzt werden, um spezifische Fragen zu beantworten, z.B. wie Benutzer auf bestimmte Arten von E-Mails reagieren oder wie effektiv vergangene Phishing-Trainings waren.

Das Ziel unser Simulation war es, das Bewusstsein für Phishing an der ETH zu steigern und Daten für ein Forschungsprojekt zu sammeln. Schlüsselpersonen der Informatikdienste (ID) waren informiert und haben uns geholfen, die Simulation durchzuführen.

Wie kann ich Phishing erkennen?

Die folgende ETH-Webseite erkl?rt, wie Sie Phishing erkennen k?nnen und wie Sie sich im Ernstfall verhalten sollten:

/staffnet/de/news-und-veranstaltungen/intern-aktuell/archiv/2022/12/so-erkennen-sie-phishing-e-mails.html

?ber Passwort-Manager

Was ist ein Passwort-Manager?

Ein Passwort-Manager ist ein Programm, welches dabei hilft, Passw?rter sicher und benutzerfreundlich zu erstellen, zu speichern und zu verwenden. Um gespeicherte Passw?rter freizuschalten, muss man nur ein einziges Master-Passwort (und idealerweise einen zweiten Faktor) eingeben. Die meisten Passwort-Manager k?nnen über Browser-Erweiterungen in Webbrowser integriert werden.

Der Hauptvorteil eines Passwort-Managers besteht darin, dass er die Verwendung von starken, einzigartigen Passw?rtern für viele Dienste und Konten erleichtert. Der Hauptnachteil ist jedoch, dass man mit einem Passwort-Manager alles auf eine Karte setzt: Wenn es einem Angreifer gelingt, den Passwort-Manager zu kompromittieren, erh?lt er Zugang zu allen Konten.

Schützt ein Passwort-Manager gegen Phishing?

Die kurze Antwort: Ja, wenn Sie ihn richtig verwenden.

Die meisten Passwort-Manager bieten eine Auto-Vervollst?ndigung an, die ein Passwort nur auf den Websites vorschl?gt, mit denen es verknüpft ist. Das bedeutet, dass diese Funktion auf einer Phishing-Website nichts anzeigen wird. Wenn die Auto-Vervollst?ndigung Ihres Passwort-Managers also nicht wie erwartet funktioniert, sollten Sie definitiv überprüfen, ob die Website echt ist. Wenn Sie jedoch statt der Auto-Vervollst?ndigung ihre Passw?rter manuell kopieren und einfügen, dann kann Sie der Passwort-Manager nicht schützen.

Schliesslich k?nnen auch Passwort-Manager selbst zum Ziel von Phishing-Angriffen werden. Es ist deshalb sehr wichtig, bei jeder Eingabe des Master-Passworts zu verifizieren, dass man wirklich mit dem Passwort-Manager interagiert.

Soll ich einen Passwort-Manager nutzen oder nicht?

Ja, wir empfehlen Ihnen die Verwendung eines Passwort-Managers auf jeden Fall. Es lohnt sich aber, die folgenden Punkte zu beachten:

  • Achten Sie auf Phishing bei Passwort-Managern: Wann immer Sie sich in Ihren Passwort-Manager einloggen (oder eine E-Mail von dem entsprechenden Unternehmen erhalten), sollten Sie sorgf?ltig auf Anzeichen von Phishing achten. Eine Phishing-Website k?nnte einfach eine Benutzeroberfl?che anzeigen, die wie Ihr Passwort-Manager aussieht. Wenn Sie unsicher sind, ?ffnen Sie Ihren Passwort-Manager manuell, indem Sie auf das Symbol in der Symbolleiste Ihres Browsers klicken. Auf diese Weise ?ffnet sich bestimmt der echte Passwort-Manager, da eine Phishing-Webseite nicht auf dieses Symbol zugreifen kann.
  • Verwenden Sie nur vertrauenswürdige Ger?te: Greifen Sie nicht auf ?ffentlichen oder nicht vertrauenswürdigen Ger?ten auf Ihren Passwort-Manager zu (z.B. auf dem Laptop einer Person, die Sie kaum kennen).
  • Beachten Sie Warnungen: Die meisten Passwort-Manager informieren Sie in der Regel, wenn sie unerwartetes Verhalten feststellen, wie z.B. eine Anmeldung von einem neuen Ger?t. Nehmen Sie diese E-Mails ernst.

?ber dieses Projekt

Was ist das Ziel dieses Projekts?

Diese Simulation ist Teil unserer Forschung zu Phishing-Angriffen auf Passwort-Manager. Wenn Sie einen Passwort-Manager verwenden, haben Sie m?glicherweise eine Phishing-Seite gesehen, die Ihren Passwort-Manager imitierte und nach Ihrem Master-Passwort fragte. Andernfalls enthielt die Phishing-Seite nur ein ETH-Login. Bitte beachten Sie, dass wir Ihre Eingaben nicht erfasst haben und alle Ihre Passw?rter sicher sind.

Unser prim?res Ziel ist es, zu verstehen, wie leicht Personen das Master-Passwort Ihres Passwort-Managers auf einer unabh?ngigen Phishing-Webseite eingeben.

Darüber hinaus hoffen wir, dass die Simulation das Bewusstsein für Phishing an der ETH gesch?rft hat.

Wer ist für dieses Projekt verantwortlich?

Dieses Projekt wird von zwei ETH-Forschenden der System Security Group (D-INFK) durchgeführt und von den Informatikdiensten der ETH unterstützt:

  • Claudio Anliker (System Security Group)
  • Daniele Lain (System Security Group)
  • Dr. Matteo Corti (IT Services)

Das Projekt wird betreut von:

  • Prof. Dr. Srdjan Capkun (Head System Security Group)

Wieso haben Sie mich nicht vorher gefragt, ob ich bei der Phishing-Simulation mitmachen will?

Der Zweck dieser Simulation ist es, die Anf?lligkeit von Passwort-Managern für Phishing zu untersuchen. Deshalb mussten wir einen tats?chlichen Angriff simulieren. Sie um Ihre Zustimmung zu bitten (oder die Simulation auch nur anzukündigen), h?tte Sie gewarnt und vermutlich dazu geführt, dass Sie besonders sorgf?ltig mit Ihren E-Mails umgegangen w?ren. Dies h?tte die Ergebnisse unserer Studie verf?lscht.

Wir bitten Sie um Ihr Verst?ndnis.

Welche Daten haben Sie über mich gesammelt und wie sind sie geschützt?

Um diese Studie durchführen zu k?nnen, ben?tigten wir den Namen, die ETH-E-Mail-Adresse und den ETH-Benutzernamen aller Teilnehmenden. Zus?tzlich bekamen wir Zugriff auf einfache demographische Daten, die für eine statistische Auswertung unabdingbar sind. Alle diese Daten wurden intern und nach Rücksprache mit dem Datenschutzbeauftragten der ETH von Human Resources und den Akademischen Diensten zur Verfügung gestellt. Wir werden s?mtliche Daten nach unserer Auswertung l?schen.

W?hrend der Phishing-Simulation haben wir nur die unten aufgeführten Daten erfasst. Alle Daten werden unter einem Pseudonym gespeichert. Dieses Pseudonym basiert auf einem kryptographischen Hash. Dieser wurde mit einem geheimen Schlüssel erstellt, der nur den Forschenden bekannt ist.

Das heisst:

  • Wir arbeiten nur mit Ihrem Pseudonym, wenn wir Ihr Resultat analysieren.
  • Ohne Kenntnis dieses Schlüssels ist es nicht m?glich, von Ihrem Pseudonym auf Ihre Identit?t zu schliessen.
  • Wir l?schen den Schlüssel, sobald die Studie endet, wodurch alle Daten vollst?ndig anonymisiert werden.

Wir haben die folgenden Daten gesammelt (inkl. Zeitstempel):

  • Ob Sie die Phishing-Webseite besucht haben.
  • Ob Sie Ihren ETH-Benutzernamen richtig eingegeben haben (ja oder nein)
  • Die L?nge Ihrer Eingaben in Passwortfelder (eine Zahl)
  • Falls Sie zwei Passw?rter in das selbe Feld eingegeben haben, ihre Levenshtein-Distanz, also die Anzahl Zeichen, in der sich die Eingaben unterscheiden (eine Zahl)
  • Mit welchen Elementen Sie auf der Webseite interagiert haben.
  • Ob Sie einen Passwort-Manager verwenden und, falls ja, welchen.
  • Zus?tzliches Metadaten über Ihr System (z.B. die konfigurierte Sprache). Diese Daten werden immer wenn Sie eine Webseite besuchen automatisch von Ihren Browser mitgeschickt.

Ich m?chte, dass Sie meine Daten l?schen.

Wenn Sie lieber m?chten, dass wir Ihre Daten l?schen, senden Sie uns bitte eine E-Mail an mit dem Betreff ?Opt-out“.

Wir m?chten Sie jedoch bitten, Ihre Entscheidung zu überdenken:

  • Ihre Teilnahme stellt kein Risiko dar und hat keine Konsequenzen für Sie. Wir haben diese Phishing-Simulation sorgf?ltig geplant und verschiedene ETH-Stellen miteinbezogen. Alle gesammelten Daten werden nach dem Projekt vollst?ndig anonymisiert und nicht zu Ihrem Nachteil verwendet.
  • Wir behandeln Ihre Daten vertraulich und mit gr?sster Vorsicht: Die ETH wird nur Zugriff auf aggregierte Daten erhalten und nichts über Sie pers?nlich erfahren.
  • Die Studie ist abgeschlossen. Sie werden im Rahmen dieser Studie keine weiteren Phishing-E-Mails erhalten.
  • Wir sind auf Ihre Daten für unsere Forschung angewiesen. Wir k?nnen nur sinnvolle Schlussfolgerungen ziehen, wenn Sie uns die Nutzung der gesammelten Daten erlauben.
  • Das L?schen der Daten wird Ihre Erfahrung nicht ?ndern. Wir m?chten uns entschuldigen, falls die Phishing-Simulation unangenehm für Sie war. Falls Sie ein Passwort eingegeben haben, machen Sie sich keine Sorgen: Es war nur eine ?bung, und das kann auch erfahrenen IT-Profis passieren.

Ich habe weitere Fragen.

Schreiben Sie uns doch eine E-Mail an .

JavaScript wurde auf Ihrem Browser deaktiviert