Email Phishing Simulation – Awareness Test

In einem meiner früheren Artikel habe ich bereits die immer größer werdende Bedrohungslage durch Business Email Compromise beschrieben. Neben diesen, meist zielgerichteten Attacken, besteht weiterhin das Problem der oftmals sehr weitläufigen Phishing Mails. Ziel dieser Attacken ist meist das Abgreifen von Benutzerkennung von Amazon, PayPal und vielen anderen Diensten.

Awareness ist die halbe Miete

Wenngleich viele unserer Kunden es bereits wissen, möchte ich aus verschiedenen Erfahrungen der letzten Jahre noch einmal sehr eindringlich ein paar Punkte betonen:

  • Es gibt keine 100 % Sicherheit. Wenn euch ein Hersteller derartiges verspricht, ist alles von Wegrennen bis Androhung körperlicher Gewalt in Ordnung
  • Ohne technische Hilfsmittel und Schutzmechanismen geht es nicht. Doch am Ende des Tages können wir Millionen Euro in technische Lösungen investieren, wenn nicht jeder Benutzer ausreichend Awareness aufbringt, sind diese Ausgaben nichts wert
  • Der Fisch stinkt vom Kopf herab. Security ist zu ganz großen Teilen eine Organisationsangelegenheit. Dazu zählen Themen wie:
    • Keine Ausnahmen ohne Nachfragen und Notwendigkeit. Möchte beispielsweise die Geschäftsführung Ausnahmen innerhalb technischer Lösungen, so muss dies genauso begründet werden, wie bei jedem anderen Mitarbeiter
    • IT Security ist Chefsache. Weder kann, noch soll die IT-Abteilung alleine für die Sicherheit zuständig sein. Besonders bei Themen wie Awareness muss disziplinarisch eine Rückendeckung durch die Chefetage erfolgen. Ist dies nicht gegeben, ist jedes Sicherheitskonzept zum Scheitern verurteilt
  • Benutzer sind nicht immer dumm und Administratoren nicht immer nervig. Leider ist in den letzten Jahren der Graben zwischen IT und den Benutzer in vielen Firmen deutlich tiefer geworden. Doch weder ist es hilfreich jeden Benutzer, der mal die gefälschte Ransomware Bewerbung öffnet, als dumm zu bezeichnen, noch darf man die Empfehlungen und Anweisungen der IT blind missachten
  • Beim Thema Awareness muss stetig geschult und informiert werden. Doch die reine Informationspolitik reicht nicht aus, eine Überprüfung der Schulungsmaßnahmen ist mindestens genauso wichtig

Phishing Awareness kostenlos testen

Wie beschrieben, sollte man die Awareness innerhalb des Unternehmens regelmäßig überprüfen. Hierzu zählen natürlich Klassiker wie das Auslegen von USB Sticks mit Autostart Skript, das sich wiederum an einem Server meldet. Um insbesondere die Aufmerksamkeit der Benutzer in Sachen Business Email Compromise oder klassischen Phishing Attacken zu überprüfen, gibt es verschiedene Phishing Simulatoren. Neben vielen kommerziellen Lösungen, habe ich unter anderem bereits erfolgreich das Open Source Tool Gophish verwendet. Die Installation und Handhabung ist relativ einfach, die Möglichkeiten beinahe unbegrenzt. In einem späteren Blogartikel mehr dazu.

Wer allerdings einen möglichst unkomplizierten und schnellen Test der Benutzer Awareness durchführen möchte, kann auf die kostenlose Plattform Phish Insight der Firma Trend Micro zurückgreifen. Zum Aufsetzen einer möglichst unternehmensnahen Kampagne und anschließendem Reporting der Ergebnisse sind nur wenige Schritte notwendig:

  1. Kostenlose Anmeldung unter https://phishinsight.trendmicro.com/en
  2. Verifizierung des DNS TXT Record. Eine genauere Beschreibung des Vorgehens und der Notwendigkeit findet ihr unter diesem Link
  3. Import der Empfänger. In diesem Falle müssen die späteren „Opfer“ bestimmt werden. Dies sollte am Besten durch den Import einer CSV-Datei, kann notfalls allerdings auch manuell geschehen
  4. Auswahl eines Templates. Egal, ob ihr einen BEC (z.B. durch das „interne“ Versenden einer OWA-Support Mail) oder einen „LinkedIn“ Phishing Angriff simulieren möchtet, hier findet ihr alle Arten von Vorlagen. Der Text kann komplett ausgetauscht werden. Wichtig: Verfasst diese Email so gewohnt wie möglich. Wenn im Unternehmen „Du“ statt „Sie“ herrscht, sollte das auch hier so sein. Besonders bei BEC können derartige Informationen der entscheidende Faktor sein. Noch wichtiger: Ihr solltet den Benutzer natürlich auf alle Fälle irgendeinen versteckten Hinweis geben, dass dies ein Fake ist. Wenn am Ende wirklich ALLES zu 100 % wie sonst ist, kann man keinem Nutzer fehlende Awareness vorwerfen 
  5. Anpassen des Absenders
  6. Festlegen des Schedules
  7. WICHTIG: Benachrichtigungen der „Opfer“. Sollen Benutzer vor Start der Kampagne oder beim erfolgreichen Simulationsangriff benachrichtigt werden? Oder möchtet ihr die Ergebnisse erst einmal in Ruhe auswerten und mögliche Schulungsszenarien planen?

Haben wir all diese Dinge getan, kann es auch schon losgehen. Sobald die Mails versendet wurden, kann man auch schon live die Ergebnisse sehen. Das Reporting liefert genaue Informationen über die Klickrate der Mail, Klickrate möglicher Links und die Bereitstellungsrate möglicher Anmeldeinformationen.

Falls Fragen zu diesem oder anderen Artikel bestehen, meldet euch doch einfach bei uns! Für mehr Informationen zur aktuellen Sicherheitslage laden wir euch außerdem herzlich zu unserem IT-Security Event am 05. Juli in Nürnberg ein. Beeilt euch, es sind nur noch wenige Plätze frei.

Robert Wortmann

Robert ist seit 2014 bei der Proact Deutschland beschäftigt, wo er sich zunächst als Senior Consultant um Kundenlösungen im Bereich Security und Virtualisierung gekümmert hat. Seit 2016 ist er hauptverantwortlich für den Bereich Security zuständig.

 
Kommentare

Noch keine Kommentare vorhanden.

Hinterlassen Sie einen Kommentar