Phishing-Simulation: Neugierig oder gefährlich unaufmerksam?
Bei einer Phishing-Simulation werden unechte Phishing E-Mails (siehe protect.fhws.de/phishing ) versendet. Die Ziele einer solchen Simulation sind die Aufmerksamkeit der Angeschriebenen zu erhöhen und deren Reaktion im Ernstfall zu testen. Phishing-Versuche aus der Vergangenheit werden möglichst detailgetreu imitiert, um durch die Rückmeldungen und das Verhalten der angeschriebenen Personen Rückschlüsse auf deren Awareness zu schließen.
In Zusammenarbeit mit dem FWPM „Offensive Security“ an der Fakultät Informatik und Wirtschaftsinformatik (FIW) wurden unter Leitung von Prof. Dr. Biedermann und der Informationssicherheitsbeauftragten der FHWS Prof. Dr. Weber die Phishing-Simulation geplant. Die Studierenden des FWPM erstellten realistische Entwürfe von Phishing E-Mails.
Einer der Entwürfe wurde für die Durchführung der Phishing-Simulation verwendet. Die FHWS konnte auf ein Tool für die Durchführung zurückgreifen, welches im Rahmen der Bachelorarbeit des Informatikstudenten Manuel Seitz entstand. In Zusammenarbeit mit dem IT Service Center (ITSC) der FHWS wurden auch eigene Server für das Hosting der Webseiten und die Versendung der E-Mails bereitgestellt, so dass die Simulation komplett an der FHWS durchgeführt wurde. Zielgruppe waren die Studierenden der FIW, an die eine nicht individualisierte E-Mail mit einem Link versendet wurden.
Unter dem Link wurden zufällig drei verschiedene Versionen einer Webseite ausgeliefert. Neben einer Aufklärungsseite mit Informationen zu Phishing-Angriffen und einer Webseite, die Aufmerksamkeit beim Aufrufenden anregen soll, wurde auch auf eine gefälschte Webseite eines Studierendenportals weitergeleitet, auf der zur Eingabe der FHWS-Zugangsdaten aufgefordert wurde.
Alle Varianten klärten die Betroffenen im Anschluss über die Phishing-Simulation auf und führten zu einer Umfrage. Die anonymisierten Ergebnisse der Umfrage fließen in eine Bachelorarbeit zu Awareness und Phishing-Simulationen ein.
Die Auswertung der Phishing-Simulation zeigte Folgendes (siehe auch Abbildung):
- Insgesamt wurden bei der Phishing-Simulation 1084 E-Mails versendet.
- Innerhalb der ersten zwei Tage wurden davon 439 E-Mails gelesen und 368 Personen (ca. ein Drittel aller Angeschriebenen) haben auf den Link in der E-Mail geklickt.
- Gleichzeitig informierten 37 Studierende das ITSC Helpdesk oder die Informationssicherheitsbeauftragte über die Phishing-E-Mail.
So erfreulich die vielen Hinweise sind – so erschreckend ist, wie viele Personen bereit waren, ihre Zugangsdaten preiszugeben:
- Insgesamt wurden 362 Phishing-E-Mails mit dem Link zur gefälschten Webseite verschickt.
- 143 dieser E-Mails wurden gelesen.
- Von den 128 Personen, die auf den Link in der E-Mail geklickt haben, haben 104 tatsächlich Zugangsdaten eingegeben.
Im Übrigen müssen diese Daten gar nicht durch das Betätigen des Login-Buttons an den Server geschickt werden. Die Umsetzung folgte mittels eines Keyloggers, der bereits Tastenanschläge in eines der beiden Login-Felder erfasst. In der Simulation wurden die eingegebenen Daten aus Datenschutzgründen aber nicht gespeichert und sofort verworfen.
Ob diese erschreckend hohen Zahlen – ca. zwei Drittel derjenigen, die die Mail gelesen haben, habe Zugangsdaten eingegeben – nur damit zusammenhängen, dass die Studierenden der FIW besonders neugierig sind, oder ob tatsächlich echte Zugangsdaten eingegeben wurden, lässt sich nicht sagen.
Es zeigt eines jedoch deutlich, dass ein großer Nachholbedarf besteht, die Studierenden der FHWS hinsichtlich der Gefahren durch Phishing zu sensibilisieren.
Mehr zum Thema Phishing finden Sie auch unter: protect.fhws.de/phishing.