Phishing-Simulation - Debriefing

?ber Phishing

Was ist Phishing?

Phishing steht f¨¹r "Password fishing" (Passw?rter fischen) und ist ein Cyber-Angriff, mit dem Kriminelle Sie dazu bringen wollen, sensible Informationen preiszugeben. Neben Passw?rtern sind auch Kreditkarteninformationen ein h?ufiges Ziel.

In den meisten F?llen geben sich die Angreifer als eine Person oder eine Organization aus und versenden E-Mails in deren Namen (in unserem Fall, die ETH 365ÌåÓýÖ±²¥_365ÌåÓýͶע-¾º²ÂÍøͶ Services). Diese E-Mails enthalten normalerweise einen Link zu einer Phishing-Webseite, die verbl¨¹ffend echt aussehen kann. Wenn man dort ein Passwort eingibt, landet es direkt bei den Kriminellen.

Um die T?uschung glaubw¨¹rdiger erscheinen zu lassen, werden in Phishing-Angriffen h?ufig E-Mail- und Webseitenadressen verwendet, die den Originalen sehr ?hnlich sind. So kann es schnell passieren, dass man Domains wie "elhz.ch" oder "eth-z.ch" mit "ethz.ch" verwechselt.

Cyberkriminelle nutzen Phishing-Angriffe oft, um sich zu bereichern (z.B. durch den Zugang zu E-Banking-Konten) oder in Unternehmen/Organisationen zu gelangen (z.B. durch das Phishing von Unternehmenspassw?rtern). So entstehen weltweit jedes Jahr Sch?den in Milliardenh?he.

Was ist der Zweck einer Phishing-Simulation?

Phishing-Simulationen k?nnen dabei helfen, Organisationen und Einzelpersonen auf echte Phishing-Angriffe vorzubereiten. Sie sind bei vielen Unternehmen und Institutionen g?ngige Praxis.

Sie bieten mehrere Vorteile:

• Testen und Erh?hen des Phishing-Bewusstseins: Eine Phishing-Simulation zeigt, wie Teilnehmende auf Phishing reagieren, und hilft, das Bewusstsein f¨¹r die Risiken zu sch?rfen: B?sartige E-Mails k?nnen sehr realistisch aussehen und wir sollten im Umgang mit E-Mails vorsichtig sein - vor allem, wenn sie unerwartet sind und verlockende Versprechungen machen.
  
• Testen der Reaktion von IT-Verantwortlichen: F¨¹r Organisationen ist es entscheidend, Phishing-Angriffe schnell zu bew?ltigen, um Sch?den zu minimieren. Phishing-Simulationen erm?glichen es, die Reaktion des verantwortlichen Personals zu testen (z.B. wie fr¨¹h sie den Angriff erkennen, Phishing-E-Mails l?schen, gehackte Konten isolieren, usw.).
• Forschung: Die in einer Phishing-Simulation gewonnenen Daten k?nnen genutzt werden, um spezifische Fragen zu beantworten, z.B. wie Benutzer auf bestimmte Arten von E-Mails reagieren oder wie effektiv vergangene Phishing-Trainings waren.

Das Ziel unser Simulation war es, das Bewusstsein f¨¹r Phishing an der ETH zu steigern und Daten f¨¹r ein Forschungsprojekt zu sammeln. Schl¨¹sselpersonen der Informatikdienste (ID) waren informiert und haben uns geholfen, die Simulation durchzuf¨¹hren.

Wie kann ich Phishing erkennen?

Die folgende ETH-Webseite erkl?rt, wie Sie Phishing erkennen k?nnen und wie Sie sich im Ernstfall verhalten sollten:

/staffnet/de/news-und-veranstaltungen/intern-aktuell/archiv/2022/12/so-erkennen-sie-phishing-e-mails.html

?ber Passwort-Manager

Was ist ein Passwort-Manager?

Ein Passwort-Manager ist ein Programm, welches dabei hilft, Passw?rter sicher und benutzerfreundlich zu erstellen, zu speichern und zu verwenden. Um gespeicherte Passw?rter freizuschalten, muss man nur ein einziges Master-Passwort (und idealerweise einen zweiten Faktor) eingeben. Die meisten Passwort-Manager k?nnen ¨¹ber Browser-Erweiterungen in Webbrowser integriert werden.

Der Hauptvorteil eines Passwort-Managers besteht darin, dass er die Verwendung von starken, einzigartigen Passw?rtern f¨¹r viele Dienste und Konten erleichtert. Der Hauptnachteil ist jedoch, dass man mit einem Passwort-Manager alles auf eine Karte setzt: Wenn es einem Angreifer gelingt, den Passwort-Manager zu kompromittieren, erh?lt er Zugang zu allen Konten.

Sch¨¹tzt ein Passwort-Manager gegen Phishing?

Die kurze Antwort: Ja, wenn Sie ihn richtig verwenden.

Die meisten Passwort-Manager bieten eine Auto-Vervollst?ndigung an, die ein Passwort nur auf den Websites vorschl?gt, mit denen es verkn¨¹pft ist. Das bedeutet, dass diese Funktion auf einer Phishing-Website nichts anzeigen wird. Wenn die Auto-Vervollst?ndigung Ihres Passwort-Managers also nicht wie erwartet funktioniert, sollten Sie definitiv ¨¹berpr¨¹fen, ob die Website echt ist. Wenn Sie jedoch statt der Auto-Vervollst?ndigung ihre Passw?rter manuell kopieren und einf¨¹gen, dann kann Sie der Passwort-Manager nicht sch¨¹tzen.

Schliesslich k?nnen auch Passwort-Manager selbst zum Ziel von Phishing-Angriffen werden. Es ist deshalb sehr wichtig, bei jeder Eingabe des Master-Passworts zu verifizieren, dass man wirklich mit dem Passwort-Manager interagiert.

Soll ich einen Passwort-Manager nutzen oder nicht?

Ja, wir empfehlen Ihnen die Verwendung eines Passwort-Managers auf jeden Fall. Es lohnt sich aber, die folgenden Punkte zu beachten:

• Achten Sie auf Phishing bei Passwort-Managern: Wann immer Sie sich in Ihren Passwort-Manager einloggen (oder eine E-Mail von dem entsprechenden Unternehmen erhalten), sollten Sie sorgf?ltig auf Anzeichen von Phishing achten. Eine Phishing-Website k?nnte einfach eine Benutzeroberfl?che anzeigen, die wie Ihr Passwort-Manager aussieht. Wenn Sie unsicher sind, ?ffnen Sie Ihren Passwort-Manager manuell, indem Sie auf das Symbol in der Symbolleiste Ihres Browsers klicken. Auf diese Weise ?ffnet sich bestimmt der echte Passwort-Manager, da eine Phishing-Webseite nicht auf dieses Symbol zugreifen kann.
• Verwenden Sie nur vertrauensw¨¹rdige Ger?te: Greifen Sie nicht auf ?ffentlichen oder nicht vertrauensw¨¹rdigen Ger?ten auf Ihren Passwort-Manager zu (z.B. auf dem Laptop einer Person, die Sie kaum kennen).
• Beachten Sie Warnungen: Die meisten Passwort-Manager informieren Sie in der Regel, wenn sie unerwartetes Verhalten feststellen, wie z.B. eine Anmeldung von einem neuen Ger?t. Nehmen Sie diese E-Mails ernst.
  

?ber dieses Projekt

Was ist das Ziel dieses Projekts?

Diese Simulation ist Teil unserer Forschung zu Phishing-Angriffen auf Passwort-Manager. Wenn Sie einen Passwort-Manager verwenden, haben Sie m?glicherweise eine Phishing-Seite gesehen, die Ihren Passwort-Manager imitierte und nach Ihrem Master-Passwort fragte. Andernfalls enthielt die Phishing-Seite nur ein ETH-Login. Bitte beachten Sie, dass wir Ihre Eingaben nicht erfasst haben und alle Ihre Passw?rter sicher sind.

Unser prim?res Ziel ist es, zu verstehen, wie leicht Personen das Master-Passwort Ihres Passwort-Managers auf einer unabh?ngigen Phishing-Webseite eingeben.

Dar¨¹ber hinaus hoffen wir, dass die Simulation das Bewusstsein f¨¹r Phishing an der ETH gesch?rft hat.

Wer ist f¨¹r dieses Projekt verantwortlich?

Dieses Projekt wird von zwei ETH-Forschenden der System Security Group (D-INFK) durchgef¨¹hrt und von den Informatikdiensten der ETH unterst¨¹tzt:

• Claudio Anliker (System Security Group)
• Daniele Lain (System Security Group)
• Dr. Matteo Corti (IT Services)

Das Projekt wird betreut von:

• Prof. Dr. Srdjan Capkun (Head System Security Group)

Wieso haben Sie mich nicht vorher gefragt, ob ich bei der Phishing-Simulation mitmachen will?

Der Zweck dieser Simulation ist es, die Anf?lligkeit von Passwort-Managern f¨¹r Phishing zu untersuchen. Deshalb mussten wir einen tats?chlichen Angriff simulieren. Sie um Ihre Zustimmung zu bitten (oder die Simulation auch nur anzuk¨¹ndigen), h?tte Sie gewarnt und vermutlich dazu gef¨¹hrt, dass Sie besonders sorgf?ltig mit Ihren E-Mails umgegangen w?ren. Dies h?tte die Ergebnisse unserer Studie verf?lscht.

Wir bitten Sie um Ihr Verst?ndnis.

Welche Daten haben Sie ¨¹ber mich gesammelt und wie sind sie gesch¨¹tzt?

Um diese Studie durchf¨¹hren zu k?nnen, ben?tigten wir den Namen, die ETH-E-Mail-Adresse und den ETH-Benutzernamen aller Teilnehmenden. Zus?tzlich bekamen wir Zugriff auf einfache demographische Daten, die f¨¹r eine statistische Auswertung unabdingbar sind. Alle diese Daten wurden intern und nach R¨¹cksprache mit dem Datenschutzbeauftragten der ETH von Human Resources und den Akademischen Diensten zur Verf¨¹gung gestellt. Wir werden s?mtliche Daten nach unserer Auswertung l?schen.

W?hrend der Phishing-Simulation haben wir nur die unten aufgef¨¹hrten Daten erfasst. Alle Daten werden unter einem Pseudonym gespeichert. Dieses Pseudonym basiert auf einem kryptographischen Hash. Dieser wurde mit einem geheimen Schl¨¹ssel erstellt, der nur den Forschenden bekannt ist.

Das heisst:

• Wir arbeiten nur mit Ihrem Pseudonym, wenn wir Ihr Resultat analysieren.
• Ohne Kenntnis dieses Schl¨¹ssels ist es nicht m?glich, von Ihrem Pseudonym auf Ihre Identit?t zu schliessen.
• Wir l?schen den Schl¨¹ssel, sobald die Studie endet, wodurch alle Daten vollst?ndig anonymisiert werden.

Wir haben die folgenden Daten gesammelt (inkl. Zeitstempel):

• Ob Sie die Phishing-Webseite besucht haben.
  
• Ob Sie Ihren ETH-Benutzernamen richtig eingegeben haben (ja oder nein)
  
• Die L?nge Ihrer Eingaben in Passwortfelder (eine Zahl)
• Falls Sie zwei Passw?rter in das selbe Feld eingegeben haben, ihre Levenshtein-Distanz, also die Anzahl Zeichen, in der sich die Eingaben unterscheiden (eine Zahl)
• Mit welchen Elementen Sie auf der Webseite interagiert haben.
  
• Ob Sie einen Passwort-Manager verwenden und, falls ja, welchen.
• Zus?tzliches Metadaten ¨¹ber Ihr System (z.B. die konfigurierte Sprache). Diese Daten werden immer wenn Sie eine Webseite besuchen automatisch von Ihren Browser mitgeschickt.

Ich m?chte, dass Sie meine Daten l?schen.

Wenn Sie lieber m?chten, dass wir Ihre Daten l?schen, senden Sie uns bitte eine E-Mail an mit dem Betreff ?Opt-out¡°.

Wir m?chten Sie jedoch bitten, Ihre Entscheidung zu ¨¹berdenken:

• Ihre Teilnahme stellt kein Risiko dar und hat keine Konsequenzen f¨¹r Sie. Wir haben diese Phishing-Simulation sorgf?ltig geplant und verschiedene ETH-Stellen miteinbezogen. Alle gesammelten Daten werden nach dem Projekt vollst?ndig anonymisiert und nicht zu Ihrem Nachteil verwendet.
• Wir behandeln Ihre Daten vertraulich und mit gr?sster Vorsicht: Die ETH wird nur Zugriff auf aggregierte Daten erhalten und nichts ¨¹ber Sie pers?nlich erfahren.
  
• Die Studie ist abgeschlossen. Sie werden im Rahmen dieser Studie keine weiteren Phishing-E-Mails erhalten.
• Wir sind auf Ihre Daten f¨¹r unsere Forschung angewiesen. Wir k?nnen nur sinnvolle Schlussfolgerungen ziehen, wenn Sie uns die Nutzung der gesammelten Daten erlauben.
• Das L?schen der Daten wird Ihre Erfahrung nicht ?ndern. Wir m?chten uns entschuldigen, falls die Phishing-Simulation unangenehm f¨¹r Sie war. Falls Sie ein Passwort eingegeben haben, machen Sie sich keine Sorgen: Es war nur eine ?bung, und das kann auch erfahrenen IT-Profis passieren.

Ich habe weitere Fragen.

Schreiben Sie uns doch eine E-Mail an .