Mit einer verdeckten Aktion testet die IT-Sicherheit des Bundestags, wie Abgeordnete auf Phishing-Mails reagieren.

  • cron
    link
    fedilink
    arrow-up
    8
    ·
    2 months ago

    Haben wir in der Arbeit auch gemacht, wir waren sehr erfolgreich.

    • AAA
      link
      fedilink
      arrow-up
      6
      ·
      2 months ago

      Bei uns gibt es sehr regelmäßige Testmails. Die sind allerdings ziemlich offensichtlich (“Herr xyz, bitte prüfen Sie die angehängte Gehaltskorrektur/Liefervertrag/whatever”, Anwaltsschreiben o. Ä.), dass ich mich jedes Mal Frage ob/wer darauf hereinfällt.

      Ich stelle es mir eigentlich relativ einfach vor mit minimaler Personalisierung quasi jeden dazu zu bringen auf Links zu klicken, Attachments zu öffnen (PDFs zumindest), oder sich anzumelden. Mich eingeschlossen.

      • itslilith@lemmy.blahaj.zone
        link
        fedilink
        arrow-up
        2
        ·
        2 months ago

        Sind PDFs denn ein potentieller Angriffsvektor? Office Dokumente Dank macros natürlich, aber ich hätte gedacht, PDFs wären relativ sicher. Solange es halt wirklich PDFs sind

        • catnip@lemmy.zip
          link
          fedilink
          arrow-up
          3
          ·
          2 months ago

          Alles ist ein potentieller angriffsvektor, es kommt immer auf dein budget an ;)

          Ich würde sagen pdf sind noch ziemlich gut dabei (also eher auf der sicheren seite) aber es kommt natürlich immer auf den pdf reader an!

        • AAA
          link
          fedilink
          arrow-up
          3
          ·
          2 months ago

          Ja, sind sie. Der Angriffsvektor sind Schwachstellen im PDF Client. PDFs enthalten nicht nur Text, sondern auch viele andere Dinge - Links, Bilder, Audio, Video, interaktive Objekte, usw. Und überall wo diese Dinge interpretiert werden kann es potentiell zu Schadcode Injection kommen. Dann nämlich wenn der Code nicht oder nur unzureichend interpretiert wird, und stattdessen direkt ausgeführt wird.

          Zum Vergleich: Einfache Textdokumente werden nur angezeigt. Da findet keine interpretation in irgendeiner Weise statt.

          • NessD@lemmy.world
            link
            fedilink
            arrow-up
            2
            ·
            2 months ago

            Naja, auch, wenn das technisch korrekt ist, sind PDFs nicht sicher. Bestes Beispiel ist der Hack, den LTT letztens hatte. Ist auch über eine PDF passiert.

          • catnip@lemmy.zip
            link
            fedilink
            arrow-up
            2
            ·
            2 months ago

            Einmal ist es sehr unwarscheinlich das ein angreifer einen pdf client 0day gegen dich benutzt, ausser natürlich du bist eine sehr wichtige / interessante person. Ein adobe reader rce exploit kit sind so um die 25k minimum und du musst erstmal jemand finden der eins hat denn solche exploits sind single use weil sie üblicherweise schnell identifiziert werden sobald sie benutzt werden.

            Und das einfache textdatein nicht interpretiert werden müssen ist auch nicht richtig, es muss immer code ausgeführt werden der die bytes der datei ließt und verarbeitet. Notepad.exe zum beispiel muss die bytes erstmal dekodieren, das involviert das encoding herauszufinden (bom dann sniffing dann der default) dann müssen die dekodierten buchstaben angezeigt werden mit der entsprechenden font und bei diesem rendering können natürlich auch fehler entstehen.

            Tatsächlich hat jemand schoneinmal in notepad.exe einen rce bug gefunden. Aber es ist natürlich richtig das das extrem unwarscheinlich ist durch die geringe angriffsfläche von notepad.

        • Klingenrenner
          link
          fedilink
          arrow-up
          2
          ·
          2 months ago

          Man kann irgendwie Javascript in PDFs packen wenn ich mich richtig erinnere.

      • Don_alForno
        link
        fedilink
        arrow-up
        1
        ·
        2 months ago

        Ha, lächerlich. Bei uns stand wenigstens drin, der CEO würde iPhones verlosen und wir hätten gewonnen.

      • cron
        link
        fedilink
        arrow-up
        3
        ·
        2 months ago

        Ja genau, ich bin in der IT Security und wir bieten das unseren Kunden als Dienstleistung an.

    • marv99OPM
      link
      fedilink
      Deutsch
      arrow-up
      1
      ·
      2 months ago

      Erfolgreich im Sinne von “Keiner ist drauf hereingefallen”, oder im Sinne von “Alle haben sich reinlegen lassen”?

      • cron
        link
        fedilink
        arrow-up
        5
        ·
        2 months ago

        Ich glaub, die ersten Ergebnisse waren so im Bereich von 20-30% Klickrate und ~10% Passworteingaben, darunter auch Führungskräfte.

        IMO eines der besten Argumente für verpflichtendes MFA.

        • marv99OPM
          link
          fedilink
          Deutsch
          arrow-up
          2
          ·
          2 months ago

          Und ein gutes Argument für unangekündigte Tests :)

          • Klingenrenner
            link
            fedilink
            arrow-up
            7
            ·
            2 months ago

            Medizinisches Fachangestellty. Das braucht man, wenn die IT am Endnutzy percussive maintenance ausführt um das Bewusstsein für Phishing einzustellen und dabei über das Ziel hinausschießt.

            Oder das, was in den anderen Kommentaren schon steht.

          • marv99OPM
            link
            fedilink
            Deutsch
            arrow-up
            4
            ·
            2 months ago

            Multi Factor Authentication, also z.B. einen Einmalcode als zweiten Faktor.

          • Slein4273
            link
            fedilink
            arrow-up
            2
            ·
            2 months ago

            Es ist die Multi-Faktor-Authentifizierung gemeint