Security-Startups im Blickpunkt: Lucy Security

Phishing im eigenen Teich

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Mit dem richtigen Köder beißt jeder Fisch an, heißt es unter Anglern. Dasselbe gilt auch für die Opfer von Phishing-Kampagnen.
Mit dem richtigen Köder beißt jeder Fisch an, heißt es unter Anglern. Dasselbe gilt auch für die Opfer von Phishing-Kampagnen. (© Dudarev Mikhail - stock.adobe.com)

Cyberkriminelle werden immer besser darin, täuschend echte Phishing-Nachrichten zu erstellen, die unbedarfte Mitarbeiter dazu verleiten sollen, Daten weiterzugeben oder die Malware der Angreifer zu installieren. Unternehmen können entweder ausschließlich auf Security-Technik setzen, um wichtige Kunden- oder Produktionsdaten zu schützen, oder sie können ihre Mitarbeiter trainieren und so zu einer weiteren Verteidigungslinie gegen Phishing-Angriffe machen.

Cyber-Prävention ist eines der Themen, in dem kreative Startups viel Potenzial sehen, denn wo die Technik keinen ausreichenden Schutz bietet, ist es der Anwender, der die Verteidigungslinie stärken soll. Diesem Thema hat sich auch das Schweizer Startup „Lucy Security“ verschrieben, das nicht nur im DACH-Markt vertreten ist, sondern auch global aktiv ist. Lucy Security setzt auf Mitarbeitersensibilisierung gegen Phishing- und Spam-Angriffe. Denn diese Attacken können Unternehmen empfindliche Schäden im finanziellen Umfeld und in der eigenen Firmenreputation zufügen. Das System von Lucy Security ermöglicht es Security-Verantwortlichen, eigene Phishing-Kampagnen zur Sensibilisierung ihrer Mitarbeiter zu erstellen, zu starten und zu überwachen. Das Produkt dazu ist: Lucy Server

Um es gleich vorweg zu sagen, die Köder, die Lucy Server in harmlose E-Mails einbaut um den User zu sensibilisieren sind von sehr hoher Qualität! Die Vielfalt, die nachgeahmte Optik und die Begründungen in Kombination mit gängigen IT-Methoden zu Tarnung fordern auch Profis heraus! Dieses Toolset generiert keine „stupiden“ Phishing-E-Mails, die Jeder mit Leichtigkeit erkennen kann, sondern spiegelt die reale Bedrohungsvielfalt wieder.

Technik und Training

Lucy Server kann im Unternehmen selbst installiert und betrieben werden. Für die ersten Gehversuche kann man dazu wunderbar die „Community Edition“ installieren, die einen eingeschränkten Funktionsumfang bietet und gratis genutzt werden kann. Entscheidet man sich dann, mit der Software dem Awareness-Stand der eignen Mitarbeiter auf den Zahn zu fühlen, kann man von dieser Version jederzeit upgraden. Details zu den Preisen sind auf der Homepage zu finden. Für die Lucy Server-Nutzung wird das Produkt in einer abgeschotteten Umgebung aktiviert. Unterstützt wird dabei aktuell: Oracle Virtual Box, VMware (ESXi/Player), Amazon AWS/EC2 oder ein Script für Debian-Code. Bei Bedarf bieten die Schweizer Experten aber auch Testumgebungen an, um den Security-Verantwortlichen zu unterstützen.

Ebenso werden Schulungsmaßnahmen zu Lucy Server angeboten! Das Toolset kann man zwar auch autodidaktisch erarbeiten und nutzen, aber eine Schulungsmaßnahme (Trainingsübersicht ) oder zumindest ein Studium des Handbuches ist angeraten. Nicht weil es zwingend erforderlich ist, sondern weil sich bessere Ergebnisse effektiver erzielen lassen, wenn man weiß wo man hin klicken muss um erfolgreich eine Köder-E-Mail zu erstellen. Das Handbuch für das Toolset ist auch Online verfügbar. Lucy Security bietet auch Awareness- und Demo-Videos an, welche die Arbeitsweise der Lösung veranschaulichen. Beispielsweise ein Video über einen Spear-Phishing-Kampagne mit Malware oder auch eine Anleitung, wie man die Community Edition von Lucy Server installiert (siehe unten).

Kampagne

Laut Definition ist eine „Kampagne“ eine zeitlich befristete, gemeinschaftliche Aktion mit der Absicht, ein ideologisches, politisches oder wirtschaftliches Ziel zu erreichen. Eine Kampagne bei Lucy Server ist die Durchführung eines simulierten Phishing-Angriffes auf die eigenen Mitarbeiter zur Sensibilisierung und als Trainingsmaßnahme.

Lucy Server bietet dabei dem Verantwortlichen für IT Security rund 140 verschiedene Templates. Dies unterteilen sich in verschiedene Gruppierungen, wobei die Szenarien-Gruppen den größten Anteil haben und sich wie folgt aufteilen:

  • Hyperlinkbasierte Szenarien (Links im E-Mail-Text)
  • Dateibasierte Szenarien (Dateianhänge)
  • Smishing Szenarien (Phishing mit gefälschten SMS)
  • Szenarien für Mobile Speicher (USB-Memorystick etc.)
  • Mixed Szenarien (Kombination einzelner Attacken)

Jede dieser Szenarien-Gruppen enthält wiederum verschiedene Attack-Templates. Die klassischen Bedrohungen durch eine fingierte Transaktionsbestätigung für Amazon, über eine eBay-Kontosperre, zum Dokumenten Sharing bei Google Docs bis hin zur Paketlieferung durch den Paketlieferdienst UPPS (Wer achtet schon auf Buchstabendoppler) sind alle vertreten. Aber auch Sprachmittlungen, neue Software-Versionen, Prämien, Lotteriegewinne und Kontaktwünsche von Hobby-Modellen aus Staaten der ehemaligen Sowjetunion ist vieles mehr erfreut das Herz des Phishing-Koordinators. Denn die vorgegebenen Templates sind gut ausgearbeitet, können aber bei Bedarf bezüglich der Landingpages und anderen Vorlagen den eignen Wünschen entsprechend anpasst werden.

Lucy Security bietet sein Produkt in verschiedenen Sprachen an. Als IT-Sprache wird Englisch immer zuerst bedient. Daher kann es sein, dass mitunter eine Meldung oder ein Template nur in Englisch vorliegt und noch nicht in der jeweiligen Landessprache verfügbar ist. Man denkt aber hier im Sinn des Kunden und liefert neue Funktionen zuerst aus und die Übersetzung nach. So muss der Kunde nicht auf die Übersetzung von neuen Funktionen warten und hat immer ein aktuelles Toolset.

Ergänzendes zum Thema
 
Im Gespräch mit den Gründern von Lucy Security, Oliver Münchow und Palo Stacho.

Strategie

Der Komponenten einer Kampagne, die genutzten Templates, die Laufzeit und die Menge der generierten E-Mails (n je getesteter Mitarbeiter) ist individuell wählbar. Wobei es sich von selbst versteht, dass man für einen realitätsnahen Phishing-Test einige Vorabüberlegungen anstellen muss. Wenn man analog zu Spam einfach mit der großen Kanone auf die Belegschaft schießt und sehr einfach zu erkennende E-Mails generiert, gibt dies keine realistische Aussage.bezüglich der Anwender-Fähigkeiten Cyber-Angriffe zu erkennen. Folgende Fragen sollten daher vorab geklärt werden:

  • Wie sieht die Zielgruppe aus (Bewerbungsanschreiben machen für die Personalabteilung) mehr Sinn, als die Aufforderung, eine Rechnung zu bezahlen)
  • Wie viele Mitarbeiter werden adressiert (Erhalten 200 Mitarbeiter die gleiche E-Mail spricht sich so etwas herum)?
  • In welchem Kontext agiert die E-Mail. Phishing-Emails mit einem spezifischen Kontext bringen wenig, da die Mitarbeiter überwiegend nicht betroffen sind (Bankbetrug auf der Färöer-Inselgruppe)?
  • Ist ein Zugriff überhaupt möglich? Social-Media-Links, die am Web-Gateway gesperrt sind, bringen keinen Mehrwert für das Ergebnis.
  • Wie soll der Helpdesk und die IT-Security mit eventuellen Anfragen umgeben? Ist die entstehende Mehrarbeit eingeplant und abgeklärt?
  • Ist der Datenschutzbeauftragte und der Betriebsrat informiert und in die Aktion und Datenauswertung eingebunden?
  • Sollen die Mitarbeiter vorab über einen anstehenden Phishing-Test informiert werden oder testet man unter realen (unangekündigten) Bedingungen?
  • Welche Maßnahmen sind eingeplant, wenn das Ergebnisse hinter den Erwartungen zurückbleibt?

Wer hier lieber auf den professionellen Rat der Schweizer Experten oder deren Fachpartner zurückgreifen möchte, findet eine standardisierte Übersicht zu den angebotenen Modulen. Wer eine spezielle Lösung und/oder Unterstützung möchte, den kann man nur empfehlen: „Einfach mal bei Lucy Security anfragen!“

Ergänzendes zum Thema
 
Security-Startups gesucht!

Alles ganz harmlos?

Sicherlich wird sich manch ein Security-Verantwortlicher auch fragen, ob die Phishing-Bedrohung für ihn überhaupt relevant ist und nicht einfach nur ein Hype-Szenario ist? Ein Blick auf den entsprechenden Report, wie beispielsweise die Studie des SANS-Instituts (pdf). Aber auch Lucy Security selbst hat die Aussagen verschiedener Firmen zusammengetragen und die Key-Findings in der Grafik „State of Cyber Attacks 2018“ dargestellt.

Wer sich näher mit den möglichen Auswirkungen eines erfolgreichen Phishing Angriffes beschäftigen will, der kann dies auch mit Unterstützung von Lucy Security tun. Denn das Attack Template „Malware Testing Toolkit“ bietet hier diverse Analysemöglichkeiten an. Durch die Simulation eines nachgelagerten Malware-Angriffs, der dem eine erfolgreiche Phishing-Attacke vorausgeht lassen sich beispielsweise folgende Ergebnisse erzielen (Auszug).

  • Erkennt die eingesetzte Anti-Malware-Lösung den Download von bekannter Malware?
  • Kann die Malware-Systemkomponenten verändern/modifizieren?
  • Kann die Malware auf externe Server zugreifen und einen Kommunikation einrichten (Um beispielsweise neuer Programmkomponenten herunterzuladen)?
  • Kann die Malware auf vertrauliche oder private Daten zugreifen?
  • Kann die Schadsoftware Screenshots anfertigen?
  • Kann das genutzte SIEM-System eine verdächtige Aktivitäten erkennen?
  • Ist es der Schadsoftware möglich, einen Keylogger zu installieren?

Wie ein solches Angriffs-Template konfiguriert wird und welche Optionen zur Verfügung stehen, zeigt der entspreche Dokumentations-Eintrag auf der Lucy-Webseite. Wenn man die Vielzahl der Daten sieht, welche dieses Template abgreift, kann man auch einen Eindruck davon gewinnen, was ein Hacker anfangen kann, der eine erfolgreiche Phishing-Kampagne mit seinen eigenen Tools führt. Denn entgegen einer verbreiteten Meinung ist Phishing nicht eine „harmlose Variante“ des Versuchs, Daten zu stehlen, sondern knallhart konzipierte Schadsoftware, die versucht erst die Schutzsysteme und dann den Menschen zu überwinden um dann ihre geplante Aktion auszuführen.

Zusammenfassung

Am Ende einer Kampagne, kann man sich die Ergebnisse im Dashboard betrachten oder auch einen Report generieren. Der Security-Verantwortliche sieht wie erfolgreich seine Kampagne war, wie viele User auf die Phishing-E-Mail „hereingefallen“ sind und welche Aktion die Anwender ausführten und welche Daten sich hätten gewinnen lassen.

Man sollte hierbei aber durch aus auf ein ernsthaftes Resultat gefasst sein! Denn häufig ist das Vertrauen der Mitarbeiter in das eingesetzte Gateway-System zur Spam- und Phishing-Abwehr zu hoch bzw. es wird zu häufig geklickt, ohne im Detail die Thematik zu analysieren ob das geforderte Sinn macht und realistisch klingt.

Mit Lucy Server hat man ein Toolset, welches hervorragend dazu geeignet ist, den eignen Mitarbeitern vor Augen zu führen, wie trickreich und gefährlich Malware sein kann. Vor allem Phishing, welches auf die „Unterstützung“ des Nutzers zählt ist heutzutage eine Bedrohung, die sich zunehmender Beliebtheit bei den Cyberkriminellen erfreut. Denn das Erstellen ist relativ einfach und wenn man es geschickt anfängt auch schwer zu erkennen. Eine hundertprozentige Sicherheit kann es nicht geben, aber eine moderne, aktuelle Schutz-Software und trainierte Mitarbeiter vermögen das Bedrohungslevel deutlich zu reduzieren. Aus diesem Grund kann man den Einsatz von entsprechender Trainings-Software zur Sensibilisierung der Mitarbeiter nur jedem Unternehmen empfehlen.

Lucy Security auf einen Blick
Name Lucy Security
Webseite https://www.lucysecurity.com/de/
Geschäftsform GmbH
Standort Schweiz, 8800 Thalwil
Gründungszeitpunkt 2015
Geschäftsführer Oliver Münchow
Anzahl Mitarbeiter 15
Security-Sparte Phishing-Simulationen, Mitarbeiter Sensibilisierung, Schulung
Produkt Lucy Server
Innovation Umfangreiches Phishing-Toolset zur Mitarbeiter-Sensibilisierung inkl. Ergebnis-Analyse
Unternehmens-Blog https://www.lucysecurity.com/de/ressourcen/blog/
Investitionen möglich? Ja
Startfinanzierung / Umsatz letztes Jahr k.a.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45228396 / Security-Startups)