Anti-Phishing Test Methodology
Betriebssystem/Browser
Phishing-Tests können auf Microsoft Windows-, macOS-, Android- oder iOS-Plattformen durchgeführt werden. Einzelheiten zur genauen Version des Betriebssystems, zur Architektur, zu den verwendeten Browsern und zur Testumgebung werden in den einzelnen Testberichten angegeben.
Bitte beachten Sie, dass Phishing-Tests sowohl mit den in den einzelnen Browsern eingebauten Anti-Phishing-Funktionen ohne zusätzliches Sicherheitsprodukt als auch mit den Anti-Phishing-Maßnahmen von Sicherheitsprodukten durchgeführt werden können. Daher wird in diesem Dokument durchgehend der Begriff “Browser/Sicherheitsprodukt” verwendet.
Der/die Browser und das/die Betriebssystem(e), die bei jedem Test verwendet werden, werden im entsprechenden Testbericht angegeben.
Ziel des Tests
Der Test soll zeigen, wie effektiv die teilnehmenden Browser/Security-Produkte Phishing-Websites erkennen und blockieren und so den Nutzer davor schützen, von diesen Sites betrogen zu werden.
Zielgruppe
Jeder Computernutzer, der sich selbst nicht ganz sicher ist, ob er Phishing-Angriffe erkennen und vermeiden kann, wird von der Verwendung eines Security-Produkts/Browsers mit wirksamem Phishing-Schutz profitieren. Jeder Computerenthusiast oder Fachmann, der technische Unterstützung für Familie, Freunde, Kollegen oder Kunden anbietet, wird sich ebenfalls Gedanken über die Installation oder Empfehlung von Produkten machen, die einen Phishing-Schutz für die von ihm unterstützten Nutzer bieten.
Definition der Bedrohung
Eine Phishing-Website ist eine Website, die versucht, sich als eine rechtmäßige Person, Organisation, Marke, Dienstleistung, Plattform oder Website auszugeben, und die darauf abzielt, die Benutzer dazu zu verleiten, Anmeldeinformationen, persönliche Informationen, Finanzdaten, Authentifizierungscodes, Zahlungsdetails, Identitätsdokumente oder andere sensible Daten preiszugeben oder Handlungen auszuführen, die zu Betrug, Identitätsdiebstahl, Kontokompromittierung, finanziellem Verlust oder anderen kriminellen Aktivitäten führen können.
Eine sehr häufige Art von Phishing-Angriffen besteht darin, dass Spam-Mails verschickt werden, die vorgeben, von einer Bank zu stammen, und in denen die Empfänger aufgefordert werden, sich aus irgendeinem Grund bei ihrem Internet-Banking-Konto anzumelden. In der Mail ist ein Hyperlink enthalten, der den Opfern angeblich einen einfachen Zugang zu ihren Online-Konten ermöglicht. In Wirklichkeit führt der Link zu einer gefälschten Kopie der Anmeldeseite der Bank. Auf dieser werden die Anmeldedaten des Benutzers abgefangen, die dann von den Betrügern verwendet werden können.
Moderne Phishing-Angriffe beschränken sich jedoch nicht auf den Diebstahl von Zugangsdaten. Phishing-Websites können auch versuchen, persönliche Informationen, Zahlungskartendaten, Bankdaten, Einmalpasswörter (OTPs), Wiederherstellungscodes, von der Regierung ausgestellte Identitätsdaten, Details zu Kryptowährungs-Geldbörsen oder andere sensible Informationen zu sammeln. Solche Websites werden im Rahmen dieses Tests als Phishing betrachtet, auch wenn keine Kontodaten angefordert werden.
Es gibt zahlreiche Arten von Online-Betrug, die nicht als Phishing gelten und daher in diesem Test nicht berücksichtigt werden. Beispiele hierfür sind betrügerische Investitionsprogramme, gefälschte Online-Shops, Betrug mit technischem Support, Vorschussbetrug, Romantikbetrug oder irreführende Websites, die sich nicht als eine bestehende vertrauenswürdige Einrichtung ausgeben und deren Hauptzweck nicht die Sammlung sensibler Informationen durch Täuschung ist.
Viele webbasierte Malware-Angriffe nutzen legitime Webserver, um ausführbare Malware zu hosten. Ebenso ist es möglich, dass Phishing-Angriffe ihre Webseiten auf den Servern von seriösen Organisationen hosten, die kompromittiert wurden. Eine Phishing-Seite sollte unabhängig davon erkannt werden, wo sie gehostet wird. Wenn jedoch eine legitime Top-Level-Domain blockiert wird, würde dies als falsches positives Ergebnis gewertet. Wenn eine Phishing-Seite beispielsweise unter der URL www.lycos.com/user2035/personal/index.htm gehostet wird, sollte diese spezielle URL blockiert werden, aber die Sperrung von lycos.com (einer legitimen Domain) wäre ein falsches Ergebnis.
Anwendungsbereich des Tests
Der Test ist optional; Anbieter, die sich an der Haupttestreihe beteiligen, können entscheiden, ob sie teilnehmen möchten oder nicht. Unser Test zum Schutz vor Phishing bewertet die Fähigkeit eines Browsers oder eines Sicherheitsprodukts, Phishing-Webseiten zu erkennen und die Benutzer davor zu warnen. Der Schwerpunkt liegt auf der Erkennung und Blockierung von Phishing-URLs und -Webseiten, die versuchen, Anmeldeinformationen, persönliche Informationen, Finanzdaten, Authentifizierungscodes, identitätsbezogene Informationen oder andere sensible Daten durch Imitation oder Täuschung zu erhalten.
Der Test bewertet den Schutz auf der Ebene der URL und der Webseite. Von den Produkten wird erwartet, dass sie Phishing-Seiten erkennen oder blockieren, bevor sensible Informationen eingegeben oder übermittelt werden. Schutzmechanismen, die sich ausschließlich auf die Analyse der vom Benutzer eingegebenen Daten, die Überwachung ausgehender Übermittlungen oder das Eingreifen erst nach der Eingabe von Informationen stützen, sind nicht Gegenstand dieses Tests.
Wie bereits erwähnt, werden bei Phishing-Angriffen häufig Links in Spam-E-Mails, Textnachrichten, Social-Media-Nachrichten, Werbung, QR-Codes oder kompromittierten Websites verwendet, um Benutzer zum Besuch von Phishing-Seiten zu verleiten. Der Übertragungsvektor, der zur Phishing-URL führt, wird in diesem Test nicht berücksichtigt. Der Test konzentriert sich ausschließlich auf die Fähigkeit des Browsers oder Sicherheitsprodukts, die Phishing-Seite selbst zu erkennen.
Test Setup
Die Prüfung wird auf identischen Prüfsystemen mit einer standardisierten Konfiguration durchgeführt.
Das/die Betriebssystem(e) und der/die Browser, die in einem Test verwendet werden sollen, werden den teilnehmenden Anbietern vor Beginn des Tests bekannt gegeben. Je nach Umfang des Tests und Produktverfügbarkeit können die Tests auf den Plattformen Microsoft Windows, macOS, Android und/oder iOS durchgeführt werden.
Als Browser wird ein gängiger Mainstream-Browser verwendet, der von allen teilnehmenden Produkten unterstützt wird. Bei Produkten, die direkt in das Betriebssystem oder den Browser integriert sind, wird die vom Hersteller empfohlene Konfiguration verwendet.
Auf allen Testsystemen sind identische Betriebssystem- und Browserkonfigurationen installiert. Alle integrierten Phishing-Schutzmechanismen, die nicht Teil des zu testenden Produkts sind, werden deaktiviert, sofern dies technisch machbar und angemessen ist. Bei Tests von Sicherheitsprodukten werden in den Browser integrierte Phishing-Schutzfunktionen nach Möglichkeit deaktiviert, um sicherzustellen, dass der gemessene Schutz durch das zu testende Produkt gewährleistet wird. Bei reinen Browsertests bleibt der systemeigene Phishing-Schutz des Browsers aktiviert.
Jedes Produkt wird installiert, auf die neueste verfügbare Version aktualisiert und mit seinen Standardeinstellungen konfiguriert, sofern im Testbericht nichts anderes angegeben ist.
Settings
Alle Einstellungen werden auf ihren Standardwerten belassen. Die Produkte haben während des Tests uneingeschränkten Zugang zur Cloud. Bevor der eigentliche Test durchgeführt wird, werden alle Produkte getestet, um sicherzustellen, dass sie korrekt konfiguriert sind und ordnungsgemäß funktionieren.
Quellen und Anzahl der Testfälle
Die für den Test verwendeten Phishing-URLs werden aus Spam-E-Mails extrahiert und mit einem Crawler aus dem Internet gesammelt. Es werden mindestens 100 Phishing-Websites verwendet, je nach Dauer des Tests aber möglicherweise auch viel mehr. Für falsch-positive Tests werden mindestens 100 legitime Online-Banking-Websites verwendet.
Testverfahren für Browser/Security-Produkte
Phishing-Websites sind sehr kurzlebig und können schon wenige Stunden nach ihrer Veröffentlichung wieder vom Netz genommen werden. Um sicherzustellen, dass so viele Phishing-Seiten wie möglich getestet werden können, solange sie noch aktiv sind, testen wir alle Phishing-URLs, die wir erhalten, sofort; alle, die sich als ungeeignet erweisen, werden von den Ergebnissen ausgeschlossen. Eine URL kann sich als ungeeignet erweisen, wenn es sich nicht um eine echte Phishing-Site handelt, wenn sie offline ist, wenn es sich offensichtlich um ein Duplikat handelt oder wenn eine Fehlfunktion erkennbar ist (z. B. wenn beim Öffnen der Seite Fehlermeldungen erscheinen). Unser automatisiertes Testverfahren speist die Test-PCs mit einer Phishing-URL, die dann von allen Rechnern gleichzeitig aufgerufen wird (um sicherzustellen, dass die Verfügbarkeit der Seite für alle Produkte gleich ist). Dies geschieht auf eine Art und Weise, die das Klicken eines Benutzers auf einen Link im wirklichen Leben nachahmt (im Gegensatz zu einem Argument, das direkt an den Browser weitergegeben wird). Es werden Screenshots angefertigt, um festzustellen, ob eine Phishing-Seite blockiert wurde und/oder eine Warnmeldung angezeigt wurde oder nicht. Jeder Test-PC wird dann neu gestartet und auf seine ursprüngliche Konfiguration zurückgesetzt, bevor der nächste Testfall beginnt. Auf diese Weise wird sichergestellt, dass für jeden Testfall die gleichen Bedingungen gelten und dass es nicht zu Verwechslungen zwischen den Warnmeldungen eines Testfalls und denen eines nachfolgenden Testfalls kommt.
Um als erfolgreich zu gelten, muss ein Produkt den Benutzer warnen, dass eine Website als unsicher gilt, bevor sensible Informationen eingegeben oder übermittelt werden. Schutzmechanismen, die erst nach der Dateneingabe oder -übermittlung ausgelöst werden, gelten für die Zwecke dieses Tests nicht als erfolgreicher Schutz.
False Positives
Wie bei vielen unserer anderen Tests stellen wir sicher, dass die Produkte keine hohen Erkennungsraten auf Kosten einer hohen Rate von Fehlalarmen erreichen. Ein False-Positives Test wird mit einer Reihe beliebter legitimer Websites durchgeführt, die nach Anmeldedaten oder persönlichen Informationen fragen; der Schwerpunkt liegt dabei auf Online-Banking-Sites weltweit. Ein einziger False Positive auf einer Online-Banking-Website reicht aus, um die Bewertung eines Programms herabzustufen.
Zusammenfassung
| Detection | Ja |
| False-Positives | Ja |
| Cloud-Konnektivität | Ja |
| Aktualisierungen erlaubt | Ja |
| Standard-Konfiguration | Ja |
