Phishing im eigenen Teich

Security-Startups im Blickpunkt: Lucy Security Phishing im eigenen Teich

06.04.2018Autor / Redakteur: Ralph Dombach / Peter Schmitz

Cyberkriminelle werden immer besser darin, täuschend echte Phishing-Nachrichten zu erstellen, die unbedarfte Mitarbeiter dazu verleiten sollen, Daten weiterzugeben oder die Malware der Angreifer zu installieren. Unternehmen können entweder ausschließlich auf Security-Technik setzen, um wichtige Kunden- oder Produktionsdaten zu schützen, oder sie können ihre Mitarbeiter trainieren und so zu einer weiteren Verteidigungslinie gegen Phishing-Angriffe machen.

Anbieter zum Thema

FTAPI Software GmbH

Mit dem richtigen Köder beißt jeder Fisch an, heißt es unter Anglern. Dasselbe gilt auch für die Opfer von Phishing-Kampagnen.
(© Dudarev Mikhail - stock.adobe.com)

Cyber-Prävention ist eines der Themen, in dem kreative Startups viel Potenzial sehen, denn wo die Technik keinen ausreichenden Schutz bietet, ist es der Anwender, der die Verteidigungslinie stärken soll. Diesem Thema hat sich auch das Schweizer Startup „Lucy Security“ verschrieben, das nicht nur im DACH-Markt vertreten ist, sondern auch global aktiv ist. Lucy Security setzt auf Mitarbeitersensibilisierung gegen Phishing- und Spam-Angriffe. Denn diese Attacken können Unternehmen empfindliche Schäden im finanziellen Umfeld und in der eigenen Firmenreputation zufügen. Das System von Lucy Security ermöglicht es Security-Verantwortlichen, eigene Phishing-Kampagnen zur Sensibilisierung ihrer Mitarbeiter zu erstellen, zu starten und zu überwachen. Das Produkt dazu ist: Lucy Server

Um es gleich vorweg zu sagen, die Köder, die Lucy Server in harmlose E-Mails einbaut um den User zu sensibilisieren sind von sehr hoher Qualität! Die Vielfalt, die nachgeahmte Optik und die Begründungen in Kombination mit gängigen IT-Methoden zu Tarnung fordern auch Profis heraus! Dieses Toolset generiert keine „stupiden“ Phishing-E-Mails, die Jeder mit Leichtigkeit erkennen kann, sondern spiegelt die reale Bedrohungsvielfalt wieder.

Bildergalerie

Oliver Münchow, Gründer Lucy Security und Palo Stacho, Mitgründer.

Die Lucy Security Homepage mit einer Vielzahl an Themen und Informationen zum Produkt Lucy Server.

Download der gratis Community-Edition von Lucy Server für die Oracle Virtual-Box für einen Produkttest.

Hinzufügen der Virtuellen Maschine zur VirtualBox über den Oracle VM VirtualBox Manager.

Bildergalerie mit 23 Bildern

Technik und Training

Lucy Server kann im Unternehmen selbst installiert und betrieben werden. Für die ersten Gehversuche kann man dazu wunderbar die „Community Edition“ installieren, die einen eingeschränkten Funktionsumfang bietet und gratis genutzt werden kann. Entscheidet man sich dann, mit der Software dem Awareness-Stand der eignen Mitarbeiter auf den Zahn zu fühlen, kann man von dieser Version jederzeit upgraden. Details zu den Preisen sind auf der Homepage zu finden. Für die Lucy Server-Nutzung wird das Produkt in einer abgeschotteten Umgebung aktiviert. Unterstützt wird dabei aktuell: Oracle Virtual Box, VMware (ESXi/Player), Amazon AWS/EC2 oder ein Script für Debian-Code. Bei Bedarf bieten die Schweizer Experten aber auch Testumgebungen an, um den Security-Verantwortlichen zu unterstützen.

Ebenso werden Schulungsmaßnahmen zu Lucy Server angeboten! Das Toolset kann man zwar auch autodidaktisch erarbeiten und nutzen, aber eine Schulungsmaßnahme (Trainingsübersicht ) oder zumindest ein Studium des Handbuches ist angeraten. Nicht weil es zwingend erforderlich ist, sondern weil sich bessere Ergebnisse effektiver erzielen lassen, wenn man weiß wo man hin klicken muss um erfolgreich eine Köder-E-Mail zu erstellen. Das Handbuch für das Toolset ist auch Online verfügbar. Lucy Security bietet auch Awareness- und Demo-Videos an, welche die Arbeitsweise der Lösung veranschaulichen. Beispielsweise ein Video über einen Spear-Phishing-Kampagne mit Malware oder auch eine Anleitung, wie man die Community Edition von Lucy Server installiert (siehe unten).

Kampagne

Laut Definition ist eine „Kampagne“ eine zeitlich befristete, gemeinschaftliche Aktion mit der Absicht, ein ideologisches, politisches oder wirtschaftliches Ziel zu erreichen. Eine Kampagne bei Lucy Server ist die Durchführung eines simulierten Phishing-Angriffes auf die eigenen Mitarbeiter zur Sensibilisierung und als Trainingsmaßnahme.

Lucy Server bietet dabei dem Verantwortlichen für IT Security rund 140 verschiedene Templates. Dies unterteilen sich in verschiedene Gruppierungen, wobei die Szenarien-Gruppen den größten Anteil haben und sich wie folgt aufteilen:

Hyperlinkbasierte Szenarien (Links im E-Mail-Text)

Dateibasierte Szenarien (Dateianhänge)

Smishing Szenarien (Phishing mit gefälschten SMS)

Szenarien für Mobile Speicher (USB-Memorystick etc.)

Mixed Szenarien (Kombination einzelner Attacken)

Jede dieser Szenarien-Gruppen enthält wiederum verschiedene Attack-Templates. Die klassischen Bedrohungen durch eine fingierte Transaktionsbestätigung für Amazon, über eine eBay-Kontosperre, zum Dokumenten Sharing bei Google Docs bis hin zur Paketlieferung durch den Paketlieferdienst UPPS (Wer achtet schon auf Buchstabendoppler) sind alle vertreten. Aber auch Sprachmittlungen, neue Software-Versionen, Prämien, Lotteriegewinne und Kontaktwünsche von Hobby-Modellen aus Staaten der ehemaligen Sowjetunion ist vieles mehr erfreut das Herz des Phishing-Koordinators. Denn die vorgegebenen Templates sind gut ausgearbeitet, können aber bei Bedarf bezüglich der Landingpages und anderen Vorlagen den eignen Wünschen entsprechend anpasst werden.

Lucy Security bietet sein Produkt in verschiedenen Sprachen an. Als IT-Sprache wird Englisch immer zuerst bedient. Daher kann es sein, dass mitunter eine Meldung oder ein Template nur in Englisch vorliegt und noch nicht in der jeweiligen Landessprache verfügbar ist. Man denkt aber hier im Sinn des Kunden und liefert neue Funktionen zuerst aus und die Übersetzung nach. So muss der Kunde nicht auf die Übersetzung von neuen Funktionen warten und hat immer ein aktuelles Toolset.

Ergänzendes zum Thema

Im Gespräch mit den Gründern von Lucy Security, Oliver Münchow und Palo Stacho.

Security Insider: Hr. Münchow, Cyberkriminalität nimmt immer weiter zu. Wie schätzen Sie die Lage und die Schäden ein? Wird Phishing & Spam in den nächsten fünf Jahren die neue große Bedrohung?

Oliver Münchow: Nein. Phishing ist nur eines von vielen Instrumenten der Cyberkriminalität. Was man aber sagen kann ist, dass Attacken, die auf den Menschen hinter der Technik zielen, ein bevorzugter Fokus der Angreifer bleiben wird. Die Leichtigkeit, mit der Angriffe erfolgen und die rasche und immer noch hohe Erfolgsrate sind sicherlich eine starke Motivation, derartige Angriffe auch weiterhin durchzuführen. Aber auch die finanziellen Aspekte beschleunigen die Entwicklung. Mittels Kryptowährung und Anonymität (z.B. Darknet) sind die Voraussetzungen geschaffen, auch finanziell von den Erfolgen der Hacks zu profitieren. Die Bedrohung wird also sicherlich noch weiter zunehmen und sich den technischen Entwicklungen anpassen. Man kann heute schon einen Trend beobachten. Klassisches Email Phishing wird durch immer weitere Methoden (Social Media Spoofing, Instant Messaging Phishing, Smishing etc.) ergänzt.

Security Insider: Das Phishing-Tool von Lucy Security kann, bei Wunsch, auch komplett lokal installiert werden. Ist dies eine Kundenanforderung, die dem Wunsch nach Vertraulichkeit Rechnung trägt.

Münchow: Die Vertraulichkeit der Daten spielt eine bedeutende Rolle, aber nicht die Einzige. Man muss bedenken, dass je nach gewähltem Szenario teils auch Login Daten in den Simulationen übermittelt werden. Ein Beispiel: Sie verwenden für Ihre Phishing-Simulation die vermeintliche Login Seite des Office-365© Firmenaccounts oder die Salesforce© - Loginpage des Firmen CRM. Es liegt am Kunden zu entscheiden, ob er wirklich solche Daten in einer Plattform im Internet speichern lassen will, wenn ein unachtsamer, überlisteter Benutzer seine Anmeldeinformationen Preis gibt. Weiter gibt es Datenschutzrechtliche Aspekte, es kann problematisch sein, wenn personalisierte Daten relativ ungeschützt irgendwo in der Cloud liegen. Eine weitere wichtige Rolle spielt aber die Funktionalität: Viele Funktionen in Lucy machen aber auch nur innerhalb einer lokalen und exklusiven Installation Sinn. So bieten wir diverse API’s, welche z.B. Daten in ein Drittsystem eines Security Operation Centers weitergeben können (SIEM) oder auf eine LDAP Schnittstelle zugreifen können. Dies sind Dienste die eher im Backendbereich anzusiedeln sind. Das gleiche gilt für unser Mail-PlugIn, mit welchem Mitarbeiter verdächtige Inhalte weiterleiten können. Solche internen Inhalte können ja auch streng vertrauliche Daten enthalten, weshalb Firmen da gut beraten sind, so etwas nicht im Internet zu betreiben.

Security Insider: Hr. Stacho, Ihr Produkt bietet eine große Basis von „Köder-Szenarien". Weit mehr als 100 Templates stehen zur Verfügung, um den User in Versuchung zu führen. Wie ist durchschnittlich die Prozentquote der Anwender, die ihnen bei einem nicht angekündigten ersten Testlauf in die Falle gehen?

Palo Stacho: Das hängt ganz von den Szenarien und dem Schulungsgrad der Benutzer ab. Wir erheben solche statistischen Informationen nicht, diese Informationen gehören den Benutzern. Wir wissen aber von Kunden, die bei erstmaligen Angriffen unter Zuhilfenahme unserer Vorlagen Penetrationsraten von über 30 Prozent hatten. Bei Lucy hat der Kunde auch die Möglichkeit, individuelle Attacken zu erstellen. Er kann von jeder Webseite im Internet eine lokale, funktionstüchtige Kopie zu machen. Wenn man nun die eigene Firmenseite rasch kopiert, dann eine Loginmaske drüberlegt und einen guten Vorwand findet, weshalb man sich dort nun einloggen soll, dann sind die Prozentquoten bei solchen Attacken sogar noch höher (> 50 Prozent)!

Security Insider: Herr Stacho, wie sind die Erfahrungen von Lucy Security bezüglich der Sensibilisierung der Anwender durch ein Phishing-Training. Welche Wiederholungsrate ist erforderlich, um nicht im beruflichen Alltag die Vorsicht aufzugeben?

Stacho: Hierzu gibt es in der Industrie allgemein bekannte Zahlen. Dies kommen hauptsächlich aus den USA, weil dort die Entwicklung viel weiter vorangeschritten ist als bei uns in Europa. Wir wissen, dass viele gleichzeitige laufende Phishing-Simulationen, welche nach dem Zufallsprinzip zugestellt werden, die Sensibilisierung konstant hoch halten. Pro Jahr sin ein halbes Dutzend Phishing Trainings / Tests ist zu wenig, drei Dutzend sind zu viel. Ein laufendes Programm erlaubt es, die Penetrationsrate beinahe zu eliminieren: Wir wissen von Unternehmen, die zu Beginn des Dauerprogramms 15.9 Prozent Erfolgsquote bei Phishing-Simulationen hatten. Nach zwölf Monaten laufender Schulung und Test sank diese Kennzahl auf unter 1.2 Prozent!

Security Insider: Hr. Münchow, wie sieht nach Ihre Meinung die ideale Konfiguration zur Abwehr von Phishing-Angriffen aus. Ist dies die Kombination von technischen Verfahren und menschlicher Intelligenz?

Münchow: Genau. Es gibt ja durchaus technische Mittel Phishing Nachrichten schon vor dem Eintreffen abzufangen. Indizien gäbe es viele: wurde bspw. die Domäne die hinter dem Link steckt erst neulich registriert? Ist das Mail die erste Kontaktaufnahme oder besteht bereits ein „trust-relationship“ zwischen Sender und Empfänger? Deckt sich die Reply-To Mail Adresse mit der Mail from Adresse? Wenn ein Angreifer sich aber geschickt anstellt, dann helfen auch die besten Filter nichts mehr. Und genau da setzt die Sicherheitssensibiliserung mittels Lucy an: wir bieten ja quasi eine Lernumgebung, bei welchen der Mitarbeiter mal am eigenen Leib erfahren kann, wie sich eine „echte“ Attacke anfühlen würde und worauf er in Zukunft dann achten muss. Und wir bieten in Lucy-Server ohne Aufpreis auch Dutzende von individualisierbaren Lerninhalten an, seien es Videos, Spiele, Quiz-Wettbewerbe oder einfache Infoblätter!

Strategie

Der Komponenten einer Kampagne, die genutzten Templates, die Laufzeit und die Menge der generierten E-Mails (n je getesteter Mitarbeiter) ist individuell wählbar. Wobei es sich von selbst versteht, dass man für einen realitätsnahen Phishing-Test einige Vorabüberlegungen anstellen muss. Wenn man analog zu Spam einfach mit der großen Kanone auf die Belegschaft schießt und sehr einfach zu erkennende E-Mails generiert, gibt dies keine realistische Aussage.bezüglich der Anwender-Fähigkeiten Cyber-Angriffe zu erkennen. Folgende Fragen sollten daher vorab geklärt werden:

Wie sieht die Zielgruppe aus (Bewerbungsanschreiben machen für die Personalabteilung) mehr Sinn, als die Aufforderung, eine Rechnung zu bezahlen)

Wie viele Mitarbeiter werden adressiert (Erhalten 200 Mitarbeiter die gleiche E-Mail spricht sich so etwas herum)?

In welchem Kontext agiert die E-Mail. Phishing-Emails mit einem spezifischen Kontext bringen wenig, da die Mitarbeiter überwiegend nicht betroffen sind (Bankbetrug auf der Färöer-Inselgruppe)?

Ist ein Zugriff überhaupt möglich? Social-Media-Links, die am Web-Gateway gesperrt sind, bringen keinen Mehrwert für das Ergebnis.

Wie soll der Helpdesk und die IT-Security mit eventuellen Anfragen umgeben? Ist die entstehende Mehrarbeit eingeplant und abgeklärt?

Ist der Datenschutzbeauftragte und der Betriebsrat informiert und in die Aktion und Datenauswertung eingebunden?

Sollen die Mitarbeiter vorab über einen anstehenden Phishing-Test informiert werden oder testet man unter realen (unangekündigten) Bedingungen?

Welche Maßnahmen sind eingeplant, wenn das Ergebnisse hinter den Erwartungen zurückbleibt?

Wer hier lieber auf den professionellen Rat der Schweizer Experten oder deren Fachpartner zurückgreifen möchte, findet eine standardisierte Übersicht zu den angebotenen Modulen. Wer eine spezielle Lösung und/oder Unterstützung möchte, den kann man nur empfehlen: „Einfach mal bei Lucy Security anfragen!“

Ergänzendes zum Thema

Security-Startups gesucht!

Security-Insider präsentiert innovative, junge Startups, aus Deutschland, Österreich und der Schweiz, die es sich zur Aufgabe gemacht haben, die IT-Sicherheit mit einfallsreichen, neuen Ansätzen und einem kreativen Blick auf die Security-Landschaft zu verbessern.

Wir stehen bei der Suche nach den interessantesten IT-Security-Startups aus dem deutschsprachigen Raum bereits mit vielen Verbänden, Inkubatoren, Acceleratoren und Universitäten in Kontakt. Aber wenn Sie ein Startup aus dem Bereich der IT-Sicherheit kennen, oder selbst Gründer eines solchen jungen Unternehmens sind, das nicht älter als drei Jahre ist und das wir unbedingt kennenlernen sollten, dann schreiben Sie uns!

Alles ganz harmlos?

Sicherlich wird sich manch ein Security-Verantwortlicher auch fragen, ob die Phishing-Bedrohung für ihn überhaupt relevant ist und nicht einfach nur ein Hype-Szenario ist? Ein Blick auf den entsprechenden Report, wie beispielsweise die Studie des SANS-Instituts (pdf). Aber auch Lucy Security selbst hat die Aussagen verschiedener Firmen zusammengetragen und die Key-Findings in der Grafik „State of Cyber Attacks 2018“ dargestellt.

Wer sich näher mit den möglichen Auswirkungen eines erfolgreichen Phishing Angriffes beschäftigen will, der kann dies auch mit Unterstützung von Lucy Security tun. Denn das Attack Template „Malware Testing Toolkit“ bietet hier diverse Analysemöglichkeiten an. Durch die Simulation eines nachgelagerten Malware-Angriffs, der dem eine erfolgreiche Phishing-Attacke vorausgeht lassen sich beispielsweise folgende Ergebnisse erzielen (Auszug).

Erkennt die eingesetzte Anti-Malware-Lösung den Download von bekannter Malware?

Kann die Malware-Systemkomponenten verändern/modifizieren?

Kann die Malware auf externe Server zugreifen und einen Kommunikation einrichten (Um beispielsweise neuer Programmkomponenten herunterzuladen)?

Kann die Malware auf vertrauliche oder private Daten zugreifen?

Kann die Schadsoftware Screenshots anfertigen?

Kann das genutzte SIEM-System eine verdächtige Aktivitäten erkennen?

Ist es der Schadsoftware möglich, einen Keylogger zu installieren?

Wie ein solches Angriffs-Template konfiguriert wird und welche Optionen zur Verfügung stehen, zeigt der entspreche Dokumentations-Eintrag auf der Lucy-Webseite. Wenn man die Vielzahl der Daten sieht, welche dieses Template abgreift, kann man auch einen Eindruck davon gewinnen, was ein Hacker anfangen kann, der eine erfolgreiche Phishing-Kampagne mit seinen eigenen Tools führt. Denn entgegen einer verbreiteten Meinung ist Phishing nicht eine „harmlose Variante“ des Versuchs, Daten zu stehlen, sondern knallhart konzipierte Schadsoftware, die versucht erst die Schutzsysteme und dann den Menschen zu überwinden um dann ihre geplante Aktion auszuführen.

Zusammenfassung

Am Ende einer Kampagne, kann man sich die Ergebnisse im Dashboard betrachten oder auch einen Report generieren. Der Security-Verantwortliche sieht wie erfolgreich seine Kampagne war, wie viele User auf die Phishing-E-Mail „hereingefallen“ sind und welche Aktion die Anwender ausführten und welche Daten sich hätten gewinnen lassen.

Man sollte hierbei aber durch aus auf ein ernsthaftes Resultat gefasst sein! Denn häufig ist das Vertrauen der Mitarbeiter in das eingesetzte Gateway-System zur Spam- und Phishing-Abwehr zu hoch bzw. es wird zu häufig geklickt, ohne im Detail die Thematik zu analysieren ob das geforderte Sinn macht und realistisch klingt.

Mit Lucy Server hat man ein Toolset, welches hervorragend dazu geeignet ist, den eignen Mitarbeitern vor Augen zu führen, wie trickreich und gefährlich Malware sein kann. Vor allem Phishing, welches auf die „Unterstützung“ des Nutzers zählt ist heutzutage eine Bedrohung, die sich zunehmender Beliebtheit bei den Cyberkriminellen erfreut. Denn das Erstellen ist relativ einfach und wenn man es geschickt anfängt auch schwer zu erkennen. Eine hundertprozentige Sicherheit kann es nicht geben, aber eine moderne, aktuelle Schutz-Software und trainierte Mitarbeiter vermögen das Bedrohungslevel deutlich zu reduzieren. Aus diesem Grund kann man den Einsatz von entsprechender Trainings-Software zur Sensibilisierung der Mitarbeiter nur jedem Unternehmen empfehlen.