Erhöhen Sie Ihre Security Awareness durch Angriffssimulationstrainings in Microsoft 365

Erhöhung der Security Aware­ness durch Angriffs­si­mu­la­ti­ons­trai­nings in Micro­soft 365

|

Angriffs­si­mu­la­tionen sind eine gute Technik, um Anwender testweise mit echt ausse­henden Phishing-E-Mails zu konfron­tieren. Eine Angriffs­si­mu­la­tion im Unter­nehmen sollte immer mit Aware­ness Trainings begleitet werden, um die Mitar­beiter zu sensibilisieren.

Aus dem Micro­soft 365 Defender Portal (früher Micro­soft Security Portal) lassen sich sogenannte Attack-Simula­tionen erstellen und durch­führen. Voraus­set­zung ist, dass Micro­soft 365 E5 oder Micro­soft Defender for Office 365 Plan 2 lizen­siert ist.

Angriffs­si­mu­la­tion vorbe­reiten und starten

Micro­soft stellt verschie­dene Vorlagen für die unter­schied­li­chen Social Enginee­ring Verfahren, die als Basis für die Angriffs­si­mu­la­tion genutzt werden können. Die Vorlagen gibt es in unter­schied­li­cher Sprache, zudem können die Vorlagen angepasst werden. Die Nutzung der Angriffs­vor­lagen ist ein guter Start, falls gewünscht, können aber auch eigene Inhalte erstellt werden.

In der Vorbe­rei­tung der Simula­tion kann der Text für die Phishing E‑Mails angepasst werden. Sofern das Ziel der Attacke das Stehlen von Anmel­de­infor­ma­tionen ist, so kann eine Fake-Login-Site bereit­ge­stellt und angepasst werden – z.B. mit dem Firmenlogo.

Die Simula­tion kann verschie­denen Zielgruppen zugewiesen werden.

Im Rahmen der Attack-Simula­tion können auch Trainings­in­halte mit vermit­telt werden. Micro­soft stellt verschie­dene Trainings­in­halte bereit, wie Anwender z.B. Phishing E‑Mails erkennen können.

Mit dem Start der Simula­tion werden die definierten Phishing E‑Mails an die definierten Personen gesendet.

Wer mehrere Angriffs­si­mu­la­tionen durch­führen möchte, kann dies auch Automatisieren.

Folgende Social Enginee­ring Verfahren auf Basis des MITRE Attack-Frame­works werden von Micro­soft unterstützt:

Diebstahl von Anmeldeinformationen

Bei dieser Art von Verfahren erstellt ein böswil­liger Akteur eine Nachricht mit einer URL in der Nachricht. Wenn das Ziel auf die URL in der Nachricht klickt, wird es auf eine Website weiter­ge­leitet. Diese Website zeigt oft Einga­be­felder, die das Opfer dazu verleiten sollen, seinen Benut­zer­namen und das zugehö­rige Passwort einzu­geben. Typischer­weise ist die Website, die das Ziel anlockt, so gestaltet, dass sie einer bekannten Website ähnelt, um Vertrauen in der Zielperson zu wecken.

Diebstahl von Anmeldeinformationen

Anlage mit Schadsoftware

Bei dieser Art von Technik erstellt ein böswil­liger Akteur eine Nachricht mit einer Anlage, die der Nachricht hinzu­ge­fügt wird. Wenn die Zielperson die Anlage öffnet, wird in der Regel willkür­li­cher Code, z.B. ein Makro ausge­führt, um dem Angreifer dabei zu helfen, zusätz­li­chen Code auf dem Gerät der Zielperson zu instal­lieren oder sich weiter zu verankern.

Schadsoftwareanlage

Link in Anlage

Bei dieser Technik handelt es sich um eine Form des Diebstahls von Anmel­de­infor­ma­tionen. Dabei erstellt ein böswil­liger Akteur eine Nachricht mit einer URL in einer Anlage und fügt sie dann in die Nachricht ein. Wenn die Zielperson die Anlage öffnet, wird sie mit einer URL in dieser Anlage darge­stellt. Klickt die Zielperson auf diese URL, wird sie auf eine Website weiter­ge­leitet. Diese Website zeigt oft Einga­be­felder, die das Opfer dazu verleiten sollen, seinen Benut­zer­namen und das zugehö­rige Kennwort einzu­geben. Typischer­weise ist die Website, welche die Zielperson anlockt, so gestaltet, dass sie einer bekannten Website ähnelt, um auf diese Weise Vertrauen zu erwecken.

Link in Anlage

Link zu Schadsoftware

Bei dieser Technik erstellt ein böswil­liger Akteur eine Nachricht mit einer Anlage. Statt die Anlage jedoch direkt in die Nachricht einzu­fügen, hostet er die Anlage auf einer bekannten Datei­frei­ga­be­seite wie Share­Point oder Dropbox und fügt die URL zum Datei­an­hang­pfad in die Nachricht mit ein. Wenn die Zielperson auf die URL klickt, öffnet sich die Anlage und in der Regel wird willkür­li­cher Code ausge­führt, beispiels­weise ein Makro, das es dem Angreifer erlaubt, zusätz­li­chen Code auf dem Gerät der Zielperson zu instal­lieren oder weiter in sein System vorzudringen.

Link zu Schadsoftware

Drive-by-Url

Bei dieser Art von Verfahren erstellt ein böswil­liger Akteur eine Nachricht mit einer URL in der Nachricht. Wenn das Ziel auf die URL in der Nachricht klickt, wird es auf eine Website weiter­ge­leitet. Diese Website versucht dann, im Hinter­grund Code auszu­führen, um Infor­ma­tionen über das Ziel zu sammeln oder belie­bigen Code auf dem Gerät bereit­zu­stellen. Norma­ler­weise ist die Website, die versucht, das Ziel zu locken, eine bekannte Website, die in gewisser Weise manipu­liert wurde, oder ein Klon einer bekannten Website. Diese Vertraut­heit mit der Website schafft Vertrauen in dem Ziel, dass es sicher ist, zu klicken. Dies wird manchmal auch als „Watering Hole“-Verfahren bezeichnet.

Drive by URL

Ertei­lung einer Zustim­mung in oAuth

Bei dieser Art von Technik hat ein böswil­liger Akteur eine Azure-Anwen­dung erstellt, die das Ziel auffor­dert, der Anwen­dung Berech­ti­gungen für einige der Zieldaten zu erteilen. Die Anwen­dung stellt eine URL bereit, die von einem böswil­ligen Akteur an das Ziel gesendet wird, ähnlich wie bei einer Technik zum Abfangen von Anmel­de­infor­ma­tionen als URL in einer Nachricht. Klickt der Benutzer auf die URL, wird der Mecha­nismus zur Gewäh­rung der Anwen­dungs­zu­stim­mung aktiviert und es wird eine Meldung wie z. B. “Contoso App möchte einen Lesezu­griff auf Ihren Postein­gang” angezeigt. Klicken Sie auf die Schalt­fläche, um die Anfor­de­rung zu geneh­migen oder abzulehnen. Wird die Anfrage verse­hent­lich geneh­migt, dann hat die fremde Azure Anwen­dung Zugriff auf den Posteingang.

Erteilung einer Zustimmung in oAuth

Abschluss der Angriffssimulation

Während und nach der Angriffs­si­mu­la­tion ist für den Adminis­trator einsehbar, wie die Anwender sich verhalten haben und ob diese das Training durch­laufen haben. Folgende Übersichten stehen ihm dafür zur Verfügung:

  • Anzahl geklickter Links
  • Anzahl Logins über die Fake-Loginseite
  • Anzahl ausge­führter Fake-Malware
  • Wieder­ho­lungs­täter
Link Malware

Fazit

Der integrierte Attack Simulator in Micro­soft 365 ist eine gute Möglich­keit, Anwender im Rahmen von Aware­ness-Maßnahmen mit realen Beispielen zu konfron­tieren. Im Worst­case reicht eine geöff­nete Malware, oder eine gestoh­lene Identität, um der Organi­sa­tion großen Schaden zuzufügen.

Quelle für Texte und Bilder: Micro­soft Attack Simulator

Gerne erläu­tern wir Ihnen, wie Sie sich vor Angriffen besser schützen können und helfen Ihnen dabei, Ihre IT-Security besser aufzustellen.

Kontak­tieren Sie uns!

 

Joachim von Seydewitz

Joachim von Seydewitz

Solution Archi­tect



Kontakt zur netunite AG

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG

Standorte

Lindwurmstraße 97
80337 München

Tiroler Ring 55
86609 Donauwörth

    Pflichtfeld
    Pflichtfeld
     
    Pflichtfeld
     
    Pflichtfeld