Wissen ist Schutz: Warum Phishing-Simulationen wichtig sind

Wie ist es zu dieser gemeinsamen Aktion mit den zentralen Informatikdiensten gekommen?
Claudio Anliker: Mein Kollege Daniele Lain hat im Rahmen seiner Doktorarbeit einige Nutzer-Studien im Bereich Phishing gemacht. Matteo Corti von den Informatikdiensten hat ein Paper von ihm gelesen und Interesse signalisiert an einer gemeinsamen Studie, da Phishing nat¨¹rlich auch f¨¹r die Informatikdienste der ETH ein wichtiges Thema ist. Als mir die Idee kam, die Sicherheit von externen Passwortmanagern mit einer Phishing-Studie zu untersuchen, bin ich auf Matteo zugegangen. Er war sehr schnell bereit mit uns zusammen zu arbeiten.

Warum braucht es solche Phishing-Simulationen?
In vielen Unternehmen geh?ren regelm?ssige Phishing-Simulationen zum Alltag. Es ist wichtig die Mitarbeitenden f¨¹r Phishing zu sensibilisieren, denn das Schadenspotential ist enorm. Sei es in Bezug auf Industriespionage oder einen Ransomware-Angriff. Man weiss, dass der gr?sste Sicherheitsschwachpunkt jeder IT-Infrastruktur der Mensch ist. Und Phishing-Attacken werden immer raffinierter, Nutzer m¨¹ssen sehr aufmerksam sein, um sie zu erkennen.

Warum wurden neben den Mitarbeitenden auch die Studierenden angeschrieben?
Zum einen war es f¨¹r unsere studienspezifische Fragestellung wichtig, eine grosse Anzahl von Teilnehmenden zu haben, da nur ein Bruchteil einen Passwortmanager n¨¹tzt. Andererseits ist es auch wichtig, den Studierenden zu demonstrieren, wie Phishing funktionieren kann, da die Erfahrung mit E-Mails im professionellen Bereich oft noch fehlt.

Welche Forschungsergebnisse erhofft ihr euch aus der Simulation?
Wir hoffen herauszufinden, ob unsere Intuition stimmt, dass Passwortmanager, die ein Masterpasswort nutzen, relativ einfach ?gefischt? werden k?nnen. Oder ob es sich zeigt, dass sie eigentlich viel sicherer sind als wir denken.

Ausserdem erwarten wir Erkenntnisse dar¨¹ber, was einen Passwortmanager sicherer macht gegen¨¹ber Phishing Angriffen. Die Passwortmanager funktionieren alle etwas anders, manche ?ffnen zum Beispiel ein Pop-up, andere einen neuen Browser-Tab mit eigener URL. Wir hoffen, dass wir mit der Studie genug Daten erhalten, um Tendenzen auszumachen, ob gewisse Designentscheide einen Passwortmanager sicherer machen k?nnten.

Wie viele Personen sind auf die Mail reingefallen?
Wir haben ca. 32 000 Personen angeschrieben. Auf den Link geklickt haben etwa 35%. Davon wiederum haben ungef?hr 70% auf der Webseite eine Eingabe gemacht, wobei sicherlich nicht alle ihr echtes Passwort eingegeben haben. Aufgrund der hohen Qualit?t der Phishing-Mail liegt das ungef?hr im erwarteten Rahmen. F¨¹r genauere Angaben und Infos zu den Passwortmanagern m¨¹ssen wir erst die Daten auswerten.

M¨¹ssen sich die Personen, die ihr Passwort eingegeben haben Sorgen machen?
Nein. Egal was sie auf der Webseite eingegeben oder gemacht haben, wir haben keine Passw?rter gespeichert. Wir k?nnen auch nicht sagen, wer ein richtiges Passwort eingegeben hat und wer nicht. Die Auswertung erfolgt anonym. Es muss einem aber auch nicht peinlich sein, wenn man auf die Simulation hereingefallen ist. Das kann jedem und jeder passieren, gerade wenn man im Stress ist und nicht so genau schaut.

Woran erkenne ich denn eine Phishing-Attacke?
Vertrauen Sie ruhig auf Ihr Gef¨¹hl und sind Sie E-Mails gegen¨¹ber etwas misstrauisch. Wenn Ihnen irgendwas komisch vorkommt, dann lohnt es sich genauer hinzuschauen. Bei Mails mit eingebetteten Links und Anh?ngen ist generell Vorsicht geboten. Denn Phishing-Attacken zielen immer darauf ab, dass ich eine Aktion mache: ich soll auf einen Link klicken, etwas herunterladen oder einen Anhang ?ffnen. Das Wichtigste ist den Absender genau zu ¨¹berpr¨¹fen. Grosse Organisationen wie die ETH Z¨¹rich haben ihre Mailserver so konfiguriert, dass nicht einfach Mails mit ihrer Adresse versendet werden k?nnen. Das heisst Angreifer nutzen Namen die ?hnlich klingen. In unserer Simulation z.B. die Endung ?elhz.ch? statt ?ethz.ch?. Wichtig ist sich bewusst zu sein, dass gerade bei mobiler Nutzung oft nur der Anzeigename zu sehen ist ¨C in unserem Fall ?ETH ±Ø²©¹ÙÍø,±Ø²©ÌåÓý Services? ¨C und der kann gef?lscht werden.

Eure Phishing-Mail wirkte sehr ausgefeilt und glaubw¨¹rdig. Wieso?
Ja, die E-Mail war absichtlich sehr ¨¹berzeugend. Ein Grund daf¨¹r war unser Forschungsprojekt: Wir wollten untersuchen, wie sich die Leute auf der simulierten Phishing-Seite verhalten, nachdem die E-Mail-T?uschung erfolgreich war.

Ist eine solche Phishing-Mail realistisch?
Ja, absolut. Durch die riesigen Fortschritte im Bereich der generativen k¨¹nstlichen Intelligenz k?nnen solche E-Mails in Sekunden generiert und perfekt in andere Sprachen ¨¹bersetzt werden. Die Zeiten der mit Rechtschreibefehlern ¨¹bers?ten E-Mails, die mit unglaubw¨¹rdigen Erbschaften werben, ist vorbei. Zus?tzlich k?nnen die Daten, die man f¨¹r ein solches Phishing braucht (wie Namen, ETH-Abteilung, E-Mailadressen usw.), sehr einfach im Internet gefunden werden. Leider ist es auch so, dass die ETH eine grosse Menge sogenannter ?Spear-Phishing-Angriffe? verzeichnet, die auf bestimmte Personen oder Abteilungen abzielen und sehr personalisiert sind. Solche E-Mails werden nur in kleinen Zahlen verschickt, was es f¨¹r Mail-Filter schwieriger macht, das Phishing zu erkennen.

Neu markiert die ETH externe E-Mails normalerweise als ?extern?. Wieso war das bei eurer Phishing-Mail nicht der Fall?
Wir haben uns wegen unseres Forschungsprojekts entschieden, das ?extern?-Label nicht anzuzeigen. Die E-Mail sollte m?glichst echt wirken, um zu sehen, wie sich die Teilnehmenden auf der Webseite verhalten. Wir sind uns bewusst, dass dadurch auch Leute auf den Link geklickt haben, die das mit dem ?extern?-Label nicht getan h?tten. In dem Fall k?nnen sie sich damit tr?sten, dass sie eine echte, externe Phishing-Mail h?chstwahrscheinlich erkannt h?tten.
Man sollte sich aber trotzdem nicht nur auf diese Markierung verlassen: Sie wird bei vielen Mailboxen noch nicht angezeigt und von einigen E-Mail-Clients gar nicht unterst¨¹tzt (sie fehlt z.B. bei der Mail-App auf iOS). Das kann schnell f¨¹r ein Gef¨¹hl der falschen Sicherheit sorgen, vor allem wenn man mit verschiedenen Ger?ten arbeitet. Im Ausnahmefall k?nnten auch ein Konfigurationsfehler oder eine gehackte ETH-Mailadresse Gr¨¹nde daf¨¹r sein, dass eine Phishing-Mail nicht als extern markiert wird. Deshalb sollte man sowohl die E-Mail als auch die ge?ffnete Webseite immer auf weitere wichtige Phishing-Indikatoren pr¨¹fen, bevor man ein Passwort eingibt. Das geht schneller als man denkt (siehe Intern Aktuell-Artikel vom 13.12.2022).

Was mache ich, wenn ich eine Phishing-Attacke vermute?
Wenn man sich unsicher ist, dann sollte man lieber einmal zu viel als zu wenig das Mail zum Check an die Informatikdienste schicken. Ich pers?nlich bin schon misstrauisch, wenn ich eine Mail mit Anhang erhalte, weil das so selten passiert. Aber mir ist auch klar, dass es f¨¹r jemanden der in der Studienadministration oder im HR arbeitet, ganz selbstverst?ndlich ist viele Mails mit unterschiedlichsten Anh?ngen zu bekommen.

Ist es denn ein Sicherheitsrisiko, wenn ich die Mail an die Informatikdienste weiterleite?
Am sichersten ist es, wenn ich die Mail als Anhang weiterleite. Kritisch wird es, wenn ich auf einen Link klicke und ein Passwort eingebe. Wenn das passiert, ist es wichtig, dies sofort zu melden, damit der Schaden minimiert werden kann.

Habt Ihr viel Feedback bekommen?
Wir haben ¨¹berraschend viel positives Feedback bekommen. Viele Leute verstehen, dass dieses Thema wichtig ist und haben auch die M?glichkeit genutzt, uns noch weitere Fragen zuzuschicken. Wie erwartet gab es aber auch negatives Feedback: Vor allem die Tatsache, dass wir ?V-Verg¨¹nstigungen als K?der benutzt haben, kam nicht ¨¹berall gut an.

Wieso habt ihr euch daf¨¹r entschieden?
Eine simulierte Phishing-Mail ist immer eine Gratwanderung. Einerseits soll sie attraktiv sein wie eine Echte, weil die ?bung sonst keinen Sinn macht. Andererseits sollte sie die Teilnehmenden emotional so wenig wie m?glich belasten, was einem Angreifer nat¨¹rlich egal w?re. Eine Umfrage zu Mensa-Men¨¹s h?tte wohl niemanden gest?rt, aber auch viele schlicht nicht interessiert. Als Gegenbeispiel w?re eine Mahnung vor Exmatrikulation wohl auf offene Ohren gestossen, aber ethisch klar nicht vertretbar gewesen. Die ?V-Verg¨¹nstigungen waren ein Kompromiss und wurden von der Ethikkommission bewilligt.

Wird es zuk¨¹nftig weitere solche Phishing-Simulationen an der ETH geben?
Von unserer Seite ist f¨¹r das aktuelle Projekt nichts mehr geplant, aber ich kann nicht f¨¹r die ETH sprechen. Ich k?nnte mir ein Folgeprojekt aber gut vorstellen, da die Zusammenarbeit mit den Informatikdiensten sehr gut war, insbesondere auch mit Matteo Corti und Johannes Hadodo, dem neuen Leiter Cyber- und Information Security (CISO). Ich habe wahrscheinlich mit einem Dutzend Leuten aus verschiedensten Abteilungen gesprochen und es war immer sehr konstruktiv. Auch von der Schulleitung wurden wir in unserem Vorhaben unterst¨¹tzt. Das ist keine Selbstverst?ndlichkeit und ich weiss das sehr zu sch?tzen. Und das Thema Phishing bleibt nat¨¹rlich auch zuk¨¹nftig f¨¹r die ETH relevant.