Phishing-Kampagne in der Praxis: Unsere Vorgehensweise im Kundenprojekt

Phishing und viele andere Optionen des sog. Business E-Mail Compromise (BEC) gehören weiterhin zu den erfolgreichsten Einfallstoren für Angreifer (siehe dazu unseren Blogpost: https://www.codecentric.de/wissens-hub/blog/die-techniken-der-top-5-ransomware-gruppen-in-deutschland). Trotz korrekt konfigurierter Security-Lösungen schaffen es solche Nachrichten immer wieder in die Postfächer der Opfer. Deshalb ist es entscheidend, dass sich Unternehmen auf dieses Angriffsmuster vorbereiten.

Grundsätzlich lassen sich zwei Maßnahmenkategorien unterscheiden: technische und organisatorische Maßnahmen:

Technische Maßnahmen sollen dafür sorgen, dass Phishing-Versuche, maliziöse Anhänge oder der bekannte CEO-Fraud von Security-Lösungen erkannt und im Idealfall neutralisiert werden. Dazu gehören unter anderem gut konfigurierte E-Mail-Gateways, Sandboxing-Lösungen, Reputations-Checker, SPF/DKIM/DMARC-Prüfungen, sowie ein Endgeräte-Schutz. Idealerweise sollten technische Maßnahmen ebenso dafür Sorge tragen, dass die Kompromittierung eines einzelnen Accounts oder Endgerätes nur einen geringen Schaden auslösen kann.

Dem gegenüber stehen organisatorische Maßnahmen, die unter anderem das Erkennen und den Umgang mit eingehenden Phishing-E-Mails behandeln.
Viele Security-Frameworks wie die ISO 27001 oder der IT-Grundschutz fordern die Durchführung von Awareness-Schulungen explizit. Schulungen gehören gerne mal zu den reinen Pflichtübungen. Ihre Wirksamkeit wird nicht unbedingt überprüft. Eine Überprüfung kann den Security-Verantwortlichen dabei helfen, das reale Risiko, Opfer eines solchen Angriffs zu werden, einzuschätzen, aussagekräftige Kennzahlen zu gewinnen und die Schulungsinhalte und -formen gezielt anzupassen.

In einem aktuellen Kundenprojekt haben wir genau das gemacht. Wir haben eine von mehreren Phishing-Kampagnen durchgeführt, um ausschließlich die menschliche Komponente zu testen.

Rahmenbedingungen

Der Kunde in diesem Projekt ist ein Tochterunternehmen einer größeren Gesellschaft und der eigene IT-Dienstleister, der selbst Dienste entwickelt und betreibt. Wir sollten gezielt die Awareness der Mitarbeitenden testen und nicht die technischen Implementierungen. Die zu beantwortende Frage lautete: Erkennen die Mitarbeitenden eine glaubwürdige Phishing-E-Mail und reagieren sie angemessen?

Da die technische Überprüfung nicht Teil des Assessments war, einigten wir uns darauf, die sendenden E-Mail-Server auf eine Allow-Liste zu setzen. Dadurch werden die IP-Adressen der absendenden E-Mail-Server als grundsätzlich vertrauenswürdig klassifiziert und der Inhalt der Nachricht von einer weiteren Überprüfung ausgeschlossen. Die Nachrichten landen also definitiv in den Postfächern der Mitarbeitenden, um das oben definierte Ziel zu erreichen.

Da das Projekt langfristig mit unterschiedlichen Szenarien angelegt ist, wählten wir für den Auftakt ein klassisches Szenario mit einer gefälschten M365-Login-Seite. Ziel war es, die Reaktion der Mitarbeitenden zu testen, wenn sie eine vermeintlich interne E-Mail erhielten.

Um zu vermeiden, dass echte Zugangsdaten gefährdet werden, haben wir die Login-Seite so gestaltet, dass nach Eingabe der E-Mail-Adresse (diese entspricht dem Benutzernamen in der SSO-Anmeldung) eine Fehlermeldung erschien. Passwörter wurden so nicht erfasst.

Es gibt grundsätzlich verschiedene Möglichkeiten, um an Informationen zu den Mitarbeitenden und deren Kontaktadressen zu kommen. Dies kann je nach gewünschtem Umfang des Assessments zu zusätzlichen Aufwänden führen. Mit unserem Kunden haben wir uns darauf geeinigt, vorab eine Liste aller Mitarbeitenden, deren Kontaktadressen und deren Zuordnung zu einem Geschäftsbereich (s. u.) zu erhalten.

Planung

Bei der Planung der Kampagne ging es zunächst um die zentrale Frage: Welche Art von Nachricht hat aus Angreiferperspektive die höchste Aussicht auf Erfolg?

Typische Muster wie “Dein Passwort läuft ab” oder “Verdächtige Aktivität festgestellt” sind in der Regel bekannt, weil sie weit verbreitet sind. Wir wollten vielmehr eine E-Mail gestalten, die positive Emotionen auslöst.

Wir hatten die Idee, eine vermeintlich interne Nachricht zu versenden, die Firmengeschenke in Form von Company Swag ankündigt. Viele Firmen leben zusammen mit ihren Mitarbeitenden ihre Corporate Identity und solch eine E-Mail passt direkt in das Umfeld.

Um die Glaubwürdigkeit zu erhöhen, recherchierten wir die Organisationsstruktur des Unternehmens und erstellten eine fiktive aber plausible Absenderperson mit typischer Signatur für unseren Fall. Das E-Mail-Design übernahmen wir weitestgehend aus dem bereits stattgefundenen E-Mail-Verlauf mit unseren Ansprechpartnern.

Der Kunde nutzt für seine Dienste die Hauptdomäne it.kunde.com. Alle naheliegenden Varianten mit entsprechenden Top-Level-Domänen waren bereits registriert - um genau solche Phishing-Szenarien zu erschweren. Wir entschieden uns daher für eine subtile Abweichung in der Hoffnung, dass sie beim schnellen Lesen nicht auffällt: itkunde.com.

Gemeinsam mit unserem Kunden einigten wir uns auf eine finale E-Mail-Vorlage, die freundlich und authentisch wirkte:

Der Link führte zu einer gefälschten M365-Anmeldeseite, die bei Eingabe der E-Mail-Adresse eine Fehlermeldung anzeigt:

Durchführung und Ergebnisse

Die E-Mails versendeten wir gestaffelt über mehrere Tage zu den Kernarbeitszeiten des Unternehmens. Der Zeitraum der Phishing-Kampagne war auf eine Woche angesetzt.

Die vereinbarten Messpunkte waren:

• Anzahl der zugestellten E-Mails
• Klickrate auf den Phishing-Link
• Eingabe der E-Mail-Adresse
• Interne Meldungen verdächtiger E-Mails (wurde vom Kunden erhoben)
• Vergleich mit Branchenwerten

Am Ende der Kampagne haben rund 20 % aller Mitarbeitenden unabhängig von ihrer Rolle oder Abteilung ihre E-Mail-Adresse in unsere gefälschte Login-Seite eingegeben.

Besonders interessant war, dass Mitarbeitende aus technischen Teams leicht schlechter abschnitten als ihre Kollegen aus der Verwaltung. Dass aber auch technisch versierte Personen auf gut gemachte Phishing-Kampagnen hereinfallen können, deckt sich mit unserer Erfahrung in ähnlichen Projekten. Phishing ist kein reines Wissensproblem, sondern eine Frage der Aufmerksamkeit.

Die Ergebnisse wurden schließlich aggregiert nach Bereichen ausgewertet, um individuelle Bloßstellung zu vermeiden.

Erkenntnisse und Ausblick

Die Kampagne zeigte, dass selbst in Organisationen mit erhöhtem Sicherheitsbewusstsein jede Person für gut gemachtes Phishing anfällig sein kann. Entscheidend ist hier nicht, dass Mitarbeitende wissen, dass diese Technik existiert, sondern dass sie auch im richtigen Moment innehalten, wenn die technische Maßnahme versagt. Insbesondere war für alle Beteiligten aufschlussreich, wie positive Emotionen wie die Erwartung von Geschenken dafür sorgen können, dass Sicherheitsreflexe übergangen werden.

Die gewonnenen Ergebnisse nutzen wir nun gemeinsam mit dem Kunden, um die Wahrscheinlichkeit eines erfolgreichen Angriffs über BEC zu reduzieren.