Erhöhung der Security Awareness durch Angriffssimulationstrainings in Microsoft 365

Angriffssimulationen sind eine gute Technik, um Anwender testweise mit echt aussehenden Phishing-E-Mails zu konfrontieren. Eine Angriffssimulation im Unternehmen sollte immer mit Awareness Trainings begleitet werden, um die Mitarbeiter zu sensibilisieren.

Aus dem Microsoft 365 Defender Portal (früher Microsoft Security Portal) lassen sich sogenannte Attack-Simulationen erstellen und durchführen. Voraussetzung ist, dass Microsoft 365 E5 oder Microsoft Defender for Office 365 Plan 2 lizensiert ist.

Angriffssimulation vorbereiten und starten

Microsoft stellt verschiedene Vorlagen für die unterschiedlichen Social Engineering Verfahren, die als Basis für die Angriffssimulation genutzt werden können. Die Vorlagen gibt es in unterschiedlicher Sprache, zudem können die Vorlagen angepasst werden. Die Nutzung der Angriffsvorlagen ist ein guter Start, falls gewünscht, können aber auch eigene Inhalte erstellt werden.

In der Vorbereitung der Simulation kann der Text für die Phishing E-Mails angepasst werden. Sofern das Ziel der Attacke das Stehlen von Anmeldeinformationen ist, so kann eine Fake-Login-Site bereitgestellt und angepasst werden – z.B. mit dem Firmenlogo.

Die Simulation kann verschiedenen Zielgruppen zugewiesen werden.

Im Rahmen der Attack-Simulation können auch Trainingsinhalte mit vermittelt werden. Microsoft stellt verschiedene Trainingsinhalte bereit, wie Anwender z.B. Phishing E-Mails erkennen können.

Mit dem Start der Simulation werden die definierten Phishing E-Mails an die definierten Personen gesendet.

Wer mehrere Angriffssimulationen durchführen möchte, kann dies auch Automatisieren.

Folgende Social Engineering Verfahren auf Basis des MITRE Attack-Frameworks werden von Microsoft unterstützt:

Diebstahl von Anmeldeinformationen

Bei dieser Art von Verfahren erstellt ein böswilliger Akteur eine Nachricht mit einer URL in der Nachricht. Wenn das Ziel auf die URL in der Nachricht klickt, wird es auf eine Website weitergeleitet. Diese Website zeigt oft Eingabefelder, die das Opfer dazu verleiten sollen, seinen Benutzernamen und das zugehörige Passwort einzugeben. Typischerweise ist die Website, die das Ziel anlockt, so gestaltet, dass sie einer bekannten Website ähnelt, um Vertrauen in der Zielperson zu wecken.

Anlage mit Schadsoftware

Bei dieser Art von Technik erstellt ein böswilliger Akteur eine Nachricht mit einer Anlage, die der Nachricht hinzugefügt wird. Wenn die Zielperson die Anlage öffnet, wird in der Regel willkürlicher Code, z.B. ein Makro ausgeführt, um dem Angreifer dabei zu helfen, zusätzlichen Code auf dem Gerät der Zielperson zu installieren oder sich weiter zu verankern.

Link in Anlage

Bei dieser Technik handelt es sich um eine Form des Diebstahls von Anmeldeinformationen. Dabei erstellt ein böswilliger Akteur eine Nachricht mit einer URL in einer Anlage und fügt sie dann in die Nachricht ein. Wenn die Zielperson die Anlage öffnet, wird sie mit einer URL in dieser Anlage dargestellt. Klickt die Zielperson auf diese URL, wird sie auf eine Website weitergeleitet. Diese Website zeigt oft Eingabefelder, die das Opfer dazu verleiten sollen, seinen Benutzernamen und das zugehörige Kennwort einzugeben. Typischerweise ist die Website, welche die Zielperson anlockt, so gestaltet, dass sie einer bekannten Website ähnelt, um auf diese Weise Vertrauen zu erwecken.

Link zu Schadsoftware

Bei dieser Technik erstellt ein böswilliger Akteur eine Nachricht mit einer Anlage. Statt die Anlage jedoch direkt in die Nachricht einzufügen, hostet er die Anlage auf einer bekannten Dateifreigabeseite wie SharePoint oder Dropbox und fügt die URL zum Dateianhangpfad in die Nachricht mit ein. Wenn die Zielperson auf die URL klickt, öffnet sich die Anlage und in der Regel wird willkürlicher Code ausgeführt, beispielsweise ein Makro, das es dem Angreifer erlaubt, zusätzlichen Code auf dem Gerät der Zielperson zu installieren oder weiter in sein System vorzudringen.

Drive-by-Url

Bei dieser Art von Verfahren erstellt ein böswilliger Akteur eine Nachricht mit einer URL in der Nachricht. Wenn das Ziel auf die URL in der Nachricht klickt, wird es auf eine Website weitergeleitet. Diese Website versucht dann, im Hintergrund Code auszuführen, um Informationen über das Ziel zu sammeln oder beliebigen Code auf dem Gerät bereitzustellen. Normalerweise ist die Website, die versucht, das Ziel zu locken, eine bekannte Website, die in gewisser Weise manipuliert wurde, oder ein Klon einer bekannten Website. Diese Vertrautheit mit der Website schafft Vertrauen in dem Ziel, dass es sicher ist, zu klicken. Dies wird manchmal auch als „Watering Hole“-Verfahren bezeichnet.

Erteilung einer Zustimmung in oAuth

Bei dieser Art von Technik hat ein böswilliger Akteur eine Azure-Anwendung erstellt, die das Ziel auffordert, der Anwendung Berechtigungen für einige der Zieldaten zu erteilen. Die Anwendung stellt eine URL bereit, die von einem böswilligen Akteur an das Ziel gesendet wird, ähnlich wie bei einer Technik zum Abfangen von Anmeldeinformationen als URL in einer Nachricht. Klickt der Benutzer auf die URL, wird der Mechanismus zur Gewährung der Anwendungszustimmung aktiviert und es wird eine Meldung wie z. B. “Contoso App möchte einen Lesezugriff auf Ihren Posteingang” angezeigt. Klicken Sie auf die Schaltfläche, um die Anforderung zu genehmigen oder abzulehnen. Wird die Anfrage versehentlich genehmigt, dann hat die fremde Azure Anwendung Zugriff auf den Posteingang.

Abschluss der Angriffssimulation

Während und nach der Angriffssimulation ist für den Administrator einsehbar, wie die Anwender sich verhalten haben und ob diese das Training durchlaufen haben. Folgende Übersichten stehen ihm dafür zur Verfügung:

• Anzahl geklickter Links
• Anzahl Logins über die Fake-Loginseite
• Anzahl ausgeführter Fake-Malware
• Wiederholungstäter

Fazit

Der integrierte Attack Simulator in Microsoft 365 ist eine gute Möglichkeit, Anwender im Rahmen von Awareness-Maßnahmen mit realen Beispielen zu konfrontieren. Im Worstcase reicht eine geöffnete Malware, oder eine gestohlene Identität, um der Organisation großen Schaden zuzufügen.

Quelle für Texte und Bilder: Microsoft Attack Simulator