TORPEDO - Add-on, dass Sie dabei unterstützt, Phishing-E-Mails zu erkennen

 

TORPEDO ist ein Add-On zur Benutzerunterstützung bei der Erkennung von betrügerischen E-Mails mit gefährlichen Links (oft auch als Phishing E-Mails bezeichnet). Es setzt auf dem NoPhish-Konzept von SECUSO auf bzw. kann auch als Ergänzung zu diesem eingesetzt werden. 

Hintergrund: Technisch ist es leider derzeit nicht möglich, dass keine Phishing- E-Mails in den E-Mail-Posteingängen landen. Gut gemachte Phishing-E-Mails erkennt man als Empfänger nur dann, wenn man die Webadresse hinter den Links prüft bevor man auf diese klickt. Die Awareness hierfür - bis hin zum Wissen, wie Webadressen zu prüfen sind - zu schaffen ist wichtig und geschieht über die Maßnahmen im NoPhish-Konzept. Gleichzeitig ist es aber auch klar, dass Empfänger von E-Mails nicht jede Webadresse (in der Statusleiste nach Berühren des Links) so genau prüfen, wie dies notwendig wäre, um Phishing-E-Mails zuverlässig als solche zu erkennen. Hier fehlt den Empfängern bei der Masse an E-Mails einfach die Zeit und oft auch das Wissen. 
 

Funktionsweise

TORPEDO zeigt die für die Prüfung relevanten Informationen direkt bei dem Link in einem Tooltip(-overlay) an, so dass es mit TORPEDO einfacher ist, die Prüfung durchzuführen. Außerdem unterscheidet TORPEDO verschiedene Risikostufen von Links und zeigt Ihnen so auf, wann es wichtig ist, die Webadresse hinter dem Link vor dem Klicken des Links zu prüfen. Folgende Risikostufen werden unterschieden: 

Grün: Dieses Dialogfenster weist darauf hin, dass das Risikoniveau des Besuchs der Webseite hinter dem Link von TORPEDO als niedrig eingestuft wird. Dies liegt entweder daran, dass die Domain zu einer Liste von Domains gehört, die die Entwickler von TORPEDO als grundsätzlich vertrauenswürdig einstufen oder zu einer benutzer-definierten Liste von Domains gehört. Die benutzer-definierte Liste enthält alle Domains die von Ihnen entweder bereits zweimal besucht oder manuell hinzugefügt wurden.

Beispiel 1: Hier ist ein Beispiel für ein Dialogfenster, in dem TORPEDO das Risiko, den Link zu öffnen als gering einstuft, da die Domain in der Liste der Entwickler vorkommt:

Beispiel 2: Hier ist ein Beispiel für ein Dialogfenster, in dem TORPEDO das Risiko, den Link zu öffnen, als gering einstuft, da Sie die mit dem Link verknüpfte URL bereits zweimal besucht oder manuell zur benutzer-definierten Liste hinzugefügt haben:

Grau: Dieses Dialogfenster weist darauf hin, dass das Risikoniveau des Besuchs der URL hinter dem Link von TORPEDO nicht ermittelt werden kann und daher als unbekannt eingestuft wird. In diesem Fall müssen Sie die angezeigte Domain selbst überprüfen, um zu entscheiden, ob Sie die URL öffnen können oder es sich (wahrscheinlich) um einen Phishing-Angriff handelt.

Um eine sorgfältige Prüfung der Domain zu fördern, deaktiviert TORPEDO das Öffnen des Links für drei Sekunden (3s).

Beispiel 1: Hier ist ein Beispiel für ein Dialogfenster für unbekanntes Risiko, in dem TORPEDO example.com nicht in der Liste der legitimen Domains gefunden hat, obwohl es sich um eine legitime Webseite handelt, weil sie nicht zu den am häufigsten besuchten Webseiten gehört.

Beispiel 2: Hier ist ein Beispiel für ein Dialogfenster, in dem TORPEDO exampie.com (beachten Sie die visuelle Ähnlichkeit des Buchstabens i statt I) nicht in der Liste der legitimen Domains gefunden hat und daher den Dialog mit unbekanntem Risiko anzeigt. In diesem Fall handelt es sich um eine Phishing-Webseite, die versucht, Sie glauben zu lassen, dass sie zu example.com führt, was nicht der Fall ist.

Grau mit Warnsymbol: Dieses Dialogfenster weist ebenfalls darauf hin, dass das Risikoniveau des Besuchs der URL hinter dem Link von TORPEDO nicht ermittelt werden kann und daher als unbekannt eingestuft wird. Zusätzlich wird ein Warnsymbol angezeigt, da mindestens ein Indikator gefunden wurde, der auch bei Phishing-Angriffen verwendet wird. Das bedeutet aber nicht, dass es sich hierbei zwangsläufig um eine Phishing URL handelt. Auch in legitimen E-Mails können solche Indikatoren vorkommen. Hier müssen Sie besonders sorgfältig überprüfen, ob der Link Sie zu einer Webseite führt, die einen Phishing-Angriff durchführt oder nicht.

Um eine sorgfältige Prüfung der Domain zu fördern, deaktiviert TORPEDO auch hier das Öffnen des Links für drei Sekunden (3s).

Beispiel 1: Hier ist ein Beispiel für ein Dialogfenster, in dem die mit dem Link verknüpfte URL nicht zur angezeigten URL passt. In diesem Beispiel handelt es sich um eine Phishing-URL, denn anhand des Dialogs sehen Sie, dass die Webseite nicht zur Domain karlsruhe.de führt.

Beispiel 2: Hier ist ein Beispiel für ein Dialogfenster, in dem die mit dem Link verknüpfte URL nicht zur angezeigten URL passt, aber dennoch legitim ist. Im Link-Text hat sich ein Tippfehler eingeschlichen. Dort steht Aachen mit zwei n. Dies kann wie jeder andere Tippfehler in einer E-Mail schon einmal passieren. Da die hinterlegte Domain aber die der RWTH Aachen ist, handelt es sich hier um keinen Phishing-Angriff.

Sonderfälle:TORPEDO unterstützt eine Reihe von Sonderfällen, wie z.B. Kurz-URLs und Weiterleitungen. Damit diese nach Ihren Bedürfnissen konfiguriert sind, empfehlen wir Ihnen ein Blick in die Einstellungen zu werfen. Sowohl die Einstellungen als auch dieses Tutorial können jederzeit über das Icon Symbol, meistens in der oberen rechten Ecke, wie hier im Beispiel von Thunderbird, aufgerufen werden.


Schneidern Sie die Extension auf Ihre Bedürfnisse zu, indem Sie die Einstellungen ändern.

Einstellungen

In den Einstellungen gibt es 6 verschiedene Abschnitte:

  • Unter Timer können Sie Einstellungen am Timer vornehmen z.B. können Sie die Zeit erhöhen bzw. runtersetzen oder den Timer komplett deaktivieren. Außerdem können Sie die verschiedene Mode aktivieren und deaktivieren. Beim aktivierten Privatsphäre Modus werden Links immer über die aufgelöste Domain und nicht über den Ursprungs-Link geöffnet. Außerdem werden Kurz-URLs nicht direkt aufgelöst, sondern erst nach Ihrer Bestätigung. Beim aktivierten Security Mode bekommen Sie erst nach dem zweiten gefundenen Referrer den Grauen Fall mit Warnsymbol angezeigt. Ansonsten passiert dies bereits beim ersten.
  • Unter „Domains“ können Sie die Liste der meist besuchten Webseiten für den Grünen Fall deaktivieren. Außerdem können Sie hier auch eigene Fälle zur Liste des Blauen Fall ergänzen.
  • Unter Referrer können Sie die aktuell integrierten Referrer ansehen und eigene ergänzen.
  • Unter Kurz-URL können Sie die aktuell integrierten Kurz-URLs ansehen und eigene ergänzen.
  • Unter Tooltip können Sie die einzelnen Sektionen des Dialogfensters aktivieren oder deaktivieren. Außerdem können Sie einstellen, ob nur die Domain oder die gesamte URL im Dialogfenster angezeigt werden soll.
  • Unter Tutorial können Sie jederzeit das Tutorial öffnen, um mehr Informationen zu den Funktionen von TORPEDO zu erhalten.

Download

  • Browser: Sie können TORPEDO für Firefox hier herunterladen.
  • Thunderbird: Sie können TORPEDO direkt mit Thunderbird herunterladen.
  • Falls Sie sich für den Quellcode der Add-ons interessieren, finden Sie beide Varianten bei GitHub.

Berechtigungen

Browser: Die aktuelle Version des Add-ons benötigt folgende Berechtigungen:

  • Auf Ihre Daten für diverse Websites zugreifen (<all_urls>): Dies wird benötigt, um die Tooltips innerhalb einer E-Mail eines entsprechend Webmail-Clients anzuzeigen. Zusätzlich wird die Berechtigung benötigt, damit das Add-on auch Weiterleitungen auflösen kann und die eigentliche Zieladresse eines Links anzeigen kann.
  • Auf Browsertabs zugreifen (tabs): Dies wird benötigt, um TORPEDO nur in bestimmten Tabs zu aktivieren.

Thunderbird: Die aktuelle Version des Add-ons benötigt folgende Berechtigungen:

  • Auf Ihre Daten für diverse Websites zugreifen (<all_urls>): Dies wird benötigt damit das Add-on auch Weiterleitungen auflösen kann und die eigentliche Zieladresse eines Links anzeigen kann.
  • Auf Browsertabs zugreifen (tabs): Dies wird benötigt, um TORPEDO nur in bestimmten Tabs zu aktivieren.
  • Ihre E-Mails lesen (messagesRead): Dies wird benötigt, um die Tooltips innerhalb einer E-Mail anzuzeigen.

Veröffentlichungen

Pressespiegel

Arcor, Augsburger-Allgemeine, BSI für Bürger - Schutzmaßnahmen (Spam, Phishing & Co), Dattelner Morgenpost, Focus, Frankfurter Neue Presse, General-Anzeiger Bonn, GMX, Hamburger Abendblatt, Höchster Kreisblatt, Hessische Niedersächsische Allgemeine (HNA), Lausitzer Rundschau (LR), Leinetal24, Merkur, ,N24, Nassauische Neue Presse (NNP), Nordwest-Zeitung (NZW), Onlinekosten.de, Op-online, Ruhr Nachrichten, Saarbrücker Zeitung, Schwäbische, Spam-Info, Süddeutsche Zeitung, Taunus-Zeitung, Yahoo Nachrichten, Waltroper Zeitung, Web.de, Westdeutsche Zeitung (WZ)

BSIÖkotestUni KoblenzEvangelische Kirche in DeutschlandDatenschutz RLP

 

Abschlussarbeiten

Masterarbeiten:

  • Alexandra Kunz (betreut von Benjamin Reinheimer und Prof. Dr Melanie Volkamer): Unterstützung bei der Erkennung von Phishing E-Mails mittels des Browser-Add-Ons TORPEDO – eine Effektivitäts-Untersuchung (Januar 2019)
  • Benjamin Maximilian Reinheimer (betreut von Prof. Dr. Melanie Volkamer und Paul Gerber): Effektivitäts-Evaluation und aufbauende Weiterentwicklung des TORPEDO Add-Ons hinsichtlich der Erkennung von Phishing E-Mails (April 2017). 

Bachelorarbeiten:

  • Xueting Huang (betreut von Prof. Melanie Volkamer und Benjamin Berens): TORPEDO - Defending Against Phishing E-mail Attacks (September 2024)
  • Keti Merdzhanova (betreut von Prof. Dr. Melanie Volkamer und Benjamin Reinheimer): Evaluation of the TORPEDO Webextension (November 2020)
  • Bettina Ballin (betreut von Prof. Dr. Melanie Volkamer und Marco Ghiglieri): TORPEDO for Webbrowsers (Oktober 2017).