Mailvorlage „Phishing“

Hinweis: Der durchgeführte Test wurde mit Trend Micros „Phishing Insights“ geplant und ausgeführt.

Augen auf im Mailverlauf

Fake-Mail, Reale Bedrohung

Viele werden es bereits geahnt haben, manch einer hat es korrekt vermutet und uns direkt informiert, andere sind darauf hereingefallen: Am XXX, um XXX Uhr, startete ein durch uns veranlasster Sicherheits-Selbst-Test, in Fachkreisen auch Awareness-Test genannt.

Jeder Mitarbeiter mit einem E-Mail-Account erhielt eine Fake-E-Mail mit dem Betreff „Kennwort erfolgreich geändert“. Der vermeintliche Absender der E-Mail war das „Account Team“ mit der scheinbar legitimen Absenderadresse „XXX@xyz.de“. Der Inhalt der E-Mail sah wie folgt aus:

Hallo,

Dein Kennwort wurde soeben erfolgreich aktualisiert.

Falls du diese Aenderung nicht veranlasst haben solltest, klicke [here].

Vielen Dank,

dein Account Team

****************************************************************************************

Diese Nachricht wurde automatisch erstellt, bitte nicht darauf antworten.

Account Help Center .

Methoden der Hacker verwenden

Der Link, welcher auf dem Wort „here“ und den Worten „Account Help Center“ hinterlegt war, führte den Anwender, sofern er den Link denn angeklickt hatte, auf eine Webseite, auf welcher nach einem Benutzernamen, dem aktuellen Kennwort und einem sog. Captcha (Buchstaben / Zahlen zur Verifizierung) verlangt wurde. Die E-Mail wurde absichtlich nicht sonderlich professionell gehalten, verwendet wurde AE statt Ä, „here“ statt „hier“, der Anwender wurde „gedutzt“ usw. Des weiteren wurde bisher noch nie eine Mail zum Thema Kennwort in dieser Form verschickt, somit hätte es eigentlich nicht sonderlich schwer sein dürfen, die Mail als Fake zu erkennen. Ideal wäre es gewesen, wenn die Mail gar nicht erst geöffnet wird, immer noch OK wäre öffnen aber nicht weiterleiten oder Links klicken gewesen. Ein No-Go ist allerdings, einen der Links zu klicken UND dann noch auf der nächsten Seite Login-Daten einzugeben.

Auswertung

Sinn und Zweck dieses Angriffs (welchen man in dieser Form auch als Spear Phishing bezeichnet) war es, das Sicherheitsbewusstsein unserer Anwender zu überprüfen und zu erfahren, inwiefern wir noch besser zu aktuellen Phishing-Methoden, Angriffen etc. informieren müssen.

Wir haben uns im Anschluss an den Awareness-Test natürlich mit grossem Interesse den Statistiken gewidmet, das Ergebnis war jedoch wider erwarten ernüchternd:

X der Y Empfänger haben gar nicht auf die Mail reagiert

X der Y Empfänger haben die Mail geöffnet

X der Y Empfänger haben einen der Links in der Mail angeklickt

X der Y Empfänger haben einen der Links angeklickt UND im nächsten Fenster ihre Daten eingegeben

Somit wären X Anwender bei einem echten Angriff Opfer von verstecktem Schadcode geworden (denn auch diesen enthielt die E-Mail und wurde beim öffnen geladen), X Anwender haben weiteren Schadecode geladen, welcher sich hinter dem Link verbarg und X Anwender hätten zusätzlich noch ihre Zugangsdaten auf einer Webseite eingegeben und damit äusserst sensible Daten in fremde und sicherlich nicht wohlwollende Hände gegeben – das einspricht einer Gesamt-Quote von insgesamt X% kompromitierter Rechner bzw. Accounts! Wäre der Angriff echt gewesen, dann wäre das Unternehmen XYZ im schlimmsten Fall wahrscheinlich spätestens 1-2 Stunden nach eintreffen der Mail offline gewesen, der Schaden wäre bis heute noch nicht behoben.

Nächste Schritte

Diese Zahlen bedeuten für uns, dass wir künftig zum einen noch besser und regelmäßiger über aktuelle Bedrohungen und korrektes bzw. sicherheitsbewussstes Verhalten informieren müssen, zum anderen, dass wir einen größeren Fokus auf weitere Selbst-Tests legen müssen.

Wer sich selbständig mit der Thematik beschäftigen möchte, dem sei folgender (saubere) Link ans Herz gelegt, welcher sich mit dem von uns gewählten Szenario beschäftigt:

https://blog.teamix.de/2017/06/28/email-phishing-simulation-awareness-test/

Falls ihr allgemein mehr über IT-Sicherheit, richtiges Verhalten am PC-Arbeitsplatz oder die Vermeidung von Datenverlust, Identitäts-Diebstahl und den Methoden der Hacker wissen möchtet, dann schreibt uns einfach eine kurze Mail an security@XYZ.de. Wir werden jede Anfrage prüfen und uns Gedanken machen, inwiefern wir die Themen am besten aufbereiten und präsentieren können.