Benutzer für das Erkennen von Phishing-Mails schulen mit dem Angriffssimulator von Microsoft 365

    , 23.09.2021
    Tags: , , ,

    Cyberangriffe über E-MailE-Mails sind bekannt­lich ein Einfalls­tor für Angreifer. Tech­nische Lösungen wie Security Gate­ways fangen viele schäd­liche Nach­richten ab, aber gerade bei gezielten Attacken ist der Mensch die größte Schwach­stelle. Microsofts Angriffs­simulator kann Be­nutzer auf solche Gefahren vorbe­reiten.

    Ein Blick in den Spam-Ordner jedes Postfachs zeigt, dass die Mail-Kommunikation ständig für Angriffe auf Firmen oder private Personen missbraucht wird. Trotz aller Security-Tools gelingt es den Cyber­kriminellen immer wieder, ihre schädlichen Nachrichten an die Benutzer durch­zuschleusen und häufig an Passwörter oder Kundendaten zu gelangen.

    Die meisten Unternehmen versuchen, ihre Mitarbeiter für diese Gefahr zu sensibilisieren, so dass diese beispielsweise Anhänge in Nachrichten unbekannter Absender nicht vorschnell öffnen. In der Praxis fallen viele Benutzer aber dann doch auf die raffiniert gestalteten Nachrichten herein.

    Wirksamer als abstrakte Warnungen und Empfehlungen dürfte für die meisten Benutzer sein, wenn sie einschlägigen Nachrichten auf den Leim gehen und dann sofort einen Hinweis auf ihre falsche Reaktion erhalten. Genau dies ist der Zweck von Microsofts Angriffs­simulator, der die Fähigkeit der User testet, schädliche Mails zu erkennen.

    Der Angriffssimulator im Security und Compliance Center kann Firmen über mehrere Arten von Angriffen prüfen.

    Neben Phishing-Attacken bietet der Simulator seit kurzem auch die Möglichkeit, Brute-Force- oder Kennwort-Spray-Angriffe gegen Accounts zu fahren. Damit lässt sich die Stärke der Kennwörter für Benutzer­konten prüfen.

    Voraussetzungen für die Nutzung des Simulators

    Der Angriffssimulator steht Unternehmen zur Verfügung, wenn sie über folgende M365-Lizenzpläne verfügen:

    • M365 E5
    • O365 E5
    • Microsoft Defender for O365 Plan2
    • E3-Kunden wird ein Teil der Funktionen als Test angeboten.

    Beim Administrator muss Multifaktor-Authentifizierung (MFA) aktiv sein, um den Simulator ausführen zu können. Zudem muss er den Rollengruppen Organisations­verwaltung oder Sicherheits­administrator angehören.

    Eine wichtige Einschränkung besteht darin, dass der Simulator nur mit Cloud-basierten Postfächern funktioniert. Bei anderen Umgebungen muss man leider weiterhin Software eines Drittherstellers einsetzen. Außerdem lässt sich das Tool aktuell noch nicht mit PowerShell konfigurieren.

    Typen von Phishing-Mails

    Ziel von Phishing-Mails ist es bekanntlich, den Empfänger mit täuschend echt aussehenden Nachrichten so zu manipulieren, dass er vertrauliche Informationen weitergibt oder riskante Aktionen ausführt.

    Der Simulator kann zwei Arten von Phishing-Angriffen vortäuschen:

    • Spearphishing (Credentials Harvest): Der Empfänger bekommt eine E-Mail, welche einen Link enthält. Der Angreifer leitet den Empfänger damit auf eine Website, die etwa den Online-Auftritt einer Bank oder eines Lieferanten vorspiegelt. Der User sollte dann dort seine Anmelde­informationen eingeben.
    • Spearphishin (Anlage): Der Empfänger erhält eine E-Mail mit einer angehängten Datei, zum Beispiel vom Typ DOCX oder PDF. Bestes Beispiel dafür ist eine "Rechnung" von einem Dienstleister. Der Anhang ist dann kompromittiert und enthält Malware oder ebenfalls einen Link auf eine gefälschte Website.

    Simulation für Phishing-Angriff konfigurieren

    Der Simulator unterstützt den Admin beim Einrichten eines vorgetäuschten Angriffs mit einem Wizard. Diesen startet man, indem man im Bereich Spear-Phishing Konto Breach auf die Schaltfläche Angriff starten klickt.

    Wizard für das Einrichten einer Simulation öffnen

    Im nächsten Dialog folgt man dem Link Eine Simulation starten.

    Neue Simulation mit Hilfe des Wizards erstellen

    Danach muss man sich entscheiden, welche Art von Angriff man proben möchte. Zur Auswahl stehen die oben besprochenen Varianten, beispielsweise Nachricht oder Anhang mit Link, Link zu Malware oder Drive-by-URL.

    Typ des Angriffs auswählen, der simuliert werden soll

    Auf der darauffolgenden Seite vergibt man einen Namen und eine Beschreibung für die Simulation.

    Anschließend soll man eine "Nutzlast" auswählen. Dabei handelt es sich eigentlich um einen falschen Begriff in der insgesamt schlechten Übersetzung. Gemeint ist hier das Template für die Mail, welche für den vermeint­lichen Angriff verschickt wird.

    Auswahl der Vorlage für die Phishing-Mail. Anwender können hier auch eigene Nachrichten entwerfen.

    Im nächsten Bildschirm wählt man die Benutzer aus, welche man mit der Simulation gezielt testen möchte. Hier sind verschiedene Filter verfügbar.

    Simulation für den Phishing-Angriff an bestimmte Konten zuweisen

    Sind die Benutzer zugeteilt, dann kann man im nächsten Schritt den Teilnehmern der Simulation optional eine Online-Schulung zuweisen, wenn sie durch den Test gefallen sind.

    Im Anschluss an die Simulation kann man User mit einer Schulung weiter für die Gefahren durch E-Mails sensibilisieren.

    Auf der Startseite der Schulung hinterlegt man eine Nachricht, die den User auf sein falsches Verhalten hinweist.

    Die Startseite enthält eine Nachricht, die dem User mitteilt, dass er auf den Angriff falsch reagiert hat.

    Zuletzt wird die Simulation geprüft und dann abgeschickt.

    Abschluss des Wizards mit der Prüfung der neuen Simulation

    Der Empfängerkreis, welchen wir vorhin definiert haben, erhält nun die simulierte Phishing-Mail. Das Beispiel-Template ist hier zugegeben etwas dürftig und dient nur als Anschauungsobjekt.

    Nach der Fertigstellung der Simulation gehen die vorgetäuschten Phishing-Mails an die Benutzer

    Klickt der Benutzer auf den in der E-Mail enthaltenen Link, dann wird er zur Eingabe seiner Benutzerdaten aufgefordert.

    Der Link in der Phishing-Mail führt zu einer Website, welche die Anmeldedaten anfordert.

    Wenn der User sich an der gefälschten Website anmeldet, dann wird er auf seinen Fehler aufmerksam gemacht. Zudem erhält er Hinweise, woran er den Angriff hätte erkennen müssen.

    Ist der simulierte Angriff erfolgreich, dann endet er damit, dass der Benutzer auf seinen Fehler hingewiesen wird.

    Der Administrator kann nun im Admin Center sehen, wie die Simulation insgesamt ausgegangen ist und welche Benutzer für diese Thematik weiter sensibilisiert werden müssen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.
    Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).

    // Kontakt: E-Mail //

    Verwandte Beiträge

    Weitere Links