Je mensen zijn je perimeter. Het is dan ook cruciaal om je medewerkers in staat te stellen zich te beschermen tegen phishing-aanvallen met intelligente simulaties en gerichte trainingen. Als onderdeel van Microsoft 365 Defender is de Attack simulation training beschikbaar. In deze blog laat ik je graag kennis maken met deze ‘verborgen’ en meermaals ‘vergeten’ parel.
Phishing is en blijft de meest voorkomende vorm van cybercriminaliteit met naar schatting 3,4 miljard spamberichten per dag. Ook in het werkveld nam het aantal phishing-aanvallen het afgelopen jaar sterk toe. Met een stijging van maar liefst 61%, groeit zo ook de kans dat jouw organisatie het volgende slachtoffer wordt.
Phishing-aanvallen voorkomen met louter technische middelen is onmogelijk. Bewustwording komt dan ook al snel om de hoek loeren. Je werknemers vermoedelijke phishing-pogingen helpen herkennen en melden, om zichzelf en je onderneming te beschermen, zijn cruciaal.
Microsoft’s Attack simulation training kun je binnen je organisatie inzetten om enerzijds de digitale weerbaarheid geautomatiseerd te checken en te verhogen bij medewerkers en anderzijds bewustwording bij hen te creëren. Zoals de naam eigenlijk al aangeeft doe je dit door een fictieve ‘aanval’ op jouw organisatie te lanceren.
Voorbereiding, de sleutel tot succes
De Attack simulation training is een onderdeel van de Microsoft 365 E5 en de Microsoft Defender for Office 365 Plan 2 licenties. Wanneer je de Attack simulation training via één van deze licenties tot je beschikking hebt is het zonde om deze tool ongebruikt te laten liggen. Let wel op, de simulatie zal het meest doeltreffend zijn als je erin slaagt zo weinig mogelijk collega’s te betrekken in de voorbereiding.
Om een Attack simulation training voor te bereiden start je met het creëren van een campaign waarin je verschillende componenten afloopt en klaarzet. Het gaat om de onderstaande onderdelen. Enkele zijn optioneel. De meeste onderdelen zijn noodzakelijk.
Aanvalstechnieken
Binnen Attack Simulation Training creëer je campagnes waarin je nauwkeurig een gesimuleerde aanval voorbereidt die op je eigen organisatie is gericht. In de opzet van deze gesimuleerde aanval kun je gebruikmaken van voorgedefinieerde aanvalstechnieken, onder andere de volgende:
- Credential Harvest;
- Malware Attachment;
- Link to malware.
Om Attack Simulation Training verder te illustreren wordt voor deze blog verder gericht op de techniek ‘Credential Harvest’.
De kern van de aanval
Het eerste inhoudelijke component om configuraties in te maken is een zogenaamde payload. Dit is eigenlijk de samenstelling van de mail (of Teams-bericht) die eindgebruikers voorgeschoteld krijgen. Kortom de kern van de aanval. Microsoft heeft tientallen voorgedefinieerde payloads voor je gereed staan.
Naast voorgedefinieerde payloads is het ook mogelijk om zelf payloads te creëren. Dit geeft je de kans om realistischere aanvalsmails te versturen.
Voordat je een eigen payload gaat samenstellen moet eigenlijk al de hele Attack simulation training ontworpen en doordacht zijn. Immers dien je bij het creëren van een eigen payload onder andere het volgende samen te stellen;
- From name – Afzender
- From e-mail – Afzendadres
- E-mail subject – Onderwerpregel
- Phishing link – Phishinglink
- E-mail message – Emailbericht
Hier is dan ook ruimte om bijvoorbeeld een e-mail bericht op te stellen dat uit naam van de CEO komt, inclusief handtekening met alle details. Onderdeel van het creëren van een payload is het aanduiden van zogenoemde ‘indicators’. Dit zijn letterlijk indicaties die je opgeeft waaraan een eindgebruiker had kunnen zien dat het hier om een phishing-mail gaat. Hierbij kun je denken aan een spelfout, een onjuiste of ongebruikelijke aanhef, afwijkende handtekening, etc.
De hyperlink verwijst naar een Microsoft-gelijkende inlogpagina. Goed om te weten is dat iedere eindgebruiker uiteindelijk een unieke URL in de phishing-mail heeft staan. Het maakt voor de detectie technisch dus niet uit wat de eindgebruiker invult op deze inlogpagina. Alles wat de eindgebruiker daar invoert wordt door de Attack simulation training gezien als ‘credentials supplied’.
Na het creëren van een payload kun je deze ter test naar jezelf sturen om te zien wat de eindgebruiker ongeveer zal ontvangen.
Daarnaast is het sterk aan te raden om bij het configureren van een payload, maar eigenlijk al voorafgaand aan het samenstellen van de gehele attack simulation training, het volgende alvast scherp te hebben;
- Naar wie wordt de Attack simulation training verstuurd;
- Uit wiens naam wordt de Attack simulation training verstuurd;
- Wanneer wordt deze verstuurd (weekend of doordeweeks);
- Hoe laat wordt de Attack simulation training uitgestuurd;
- Op wat voor devices zal de mail naar verwachting gelezen worden.
Onder meer met deze vragen kun je rekening houden bij het samenstellen van de payload. Bijvoorbeeld, als de aanvalsmail overdag wordt verstuurd en een hele afdeling in overleg is, loop je het risico dat de aanvalsmail wordt herkend als kwaadaardig. Dit is in de basis prima, maar mogelijk is er één collega die de aanvalsmail herkent en dit deelt met anderen. Daarnaast is een aanvalsmail mogelijk iets minder goed te herkennen op mobiele devices. Er worden immers minder details getoond op een kleiner scherm. Tot slot dien je bij gebruik van , van bijvoorbeeld Lookout, te testen of deze MTD-oplossing de aanvalsmail niet onderschept. Meer tips en overwegingen zijn hier door Microsoft gedocumenteerd.
Gebruikers toewijzen
Je kan er bij het toewijzen van de gebruikers, die betrokken worden in deze aanval, voor kiezen om alle gebruikers toe te voegen of specifieke gebruikers of groepen toe te voegen. In de basis is het goed om alle gebruikers te betrekken, immers waarom zou je uitzonderingen maken? Wil je toch specifieke gebruikers toewijzen dan kun je dat doen per;
- Gebruiker;
- Distribution list;
- Mail-enabled security group;
- All users (guest users excluded).
Terug naar de schoolbanken
Een volgend onderdeel in de Attack simulation training is het toewijzen van een training wanneer een gebruiker deze phishingtest niet doorstaat (klikt op de link). Dit is echter optioneel. Hierin kun je ervoor kiezen om:
- Microsoft automatisch een training toe te laten kennen. Dit is gebaseerd op hoe de attack simulation voor de gebruiker is verlopen en scores op eerdere trainingen.
- De gebruikers zelf een training te laten kiezen.
Tot slot definieer je een deadline voor wanneer de training door de gebruiker afgerond moet zijn (uiterlijk 7, 15 of 30 dagen nadat de Attack simulation training eindigt).
Oeps, geklikt. Wat nu?
Nadat een eindgebruiker klikt op de phishinglink komt hij/zij op een Microsoft-gelijkende inlogpagina. Wanneer iemand hier veronderstelt dat de mail en deze inlogpagina legitiem zijn en ook een gebruikersnaam en wachtwoord opgeeft, dan komt deze gebruiker op een landingspagina. Deze landingspagina kun je voor herkenbaarheid voorzien van je bedrijfslogo.
Ook hier zijn voorgedefinieerde landingspagina’s van Microsoft te gebruiken, is het mogelijk er zelf een te maken of te verwijzen (URL) naar een eigen landingspagina.
Onder de notificatie, zoals hierboven te zien is, kan eventueel de phishing-mail met de eerder gemarkeerde indicators worden weergeven. Dit geeft de eindgebruiker de kans om te zien waar hij/zij aan hadden kunnen herkennen dat het om een malafide e-mail ging. Hierna kan de eindgebruiker direct starten met het volgen van een awareness training.
You’ve got mail!
Verder kun je notificaties definiëren die een eindgebruiker ontvangt bij de volgende omstandigheden:
- Gebruiker heeft de phishing-mail herkend en gemeld (positive reinforcement);
- Dat er een training klaarstaat voor de gebruiker;
- Reminder voor een training die klaarstaat en nog niet voltooid is.
Bij deze notificaties (afhankelijk welke) is enige flexibiliteit om aan te geven op welke momenten of met welk interval de eindgebruiker deze ontvangt.
Eventueel kun je ook naast voorgedefinieerde notificaties hier eigen notificaties maken.
Klaar voor de start, af
Het definiëren van de launch details is één van de laatste onderdelen om een Attack simulation training daadwerkelijk op je eindgebruikers af te vuren. Er zijn hier twee opties;
- Direct de Attack simulation training starten en dus eindgebruikers op de proef stellen;
- De Attack simulation training plannen. Zo kun je deze bijvoorbeeld op een zondagavond plannen zonder op dat moment zelf aan de knoppen te hoeven zitten.
Ongeacht de situatie dien je altijd aan te geven hoelang de Attack simulation training duurt. Met andere woorden hoe lang kunnen eindgebruikers op de phishing-link in de e-mail klikken?
Houd er rekening mee dat je slechts enkele weken vooruit kan plannen.
Het zit hem in de details
Tot slot krijg je bij het samenstellen van een Attack simulation training een samenvatting van je campagne. Hier kun je eventueel nog een test e-mail verzenden om (bijna volledig) te zien wat de eindgebruiker te zien zal krijgen.
Buikgevoel is goed, data is beter
Gezien iedere eindgebruiker een unieke URL ontvangt in de phishing-mail is ook nauwkeurig te zien hoe de Attack simulation training verloopt.
Het bovenstaande geeft in één oogopslag aan hoe de eindgebruikers in deze Attack simulation training gehandeld en gescoord hebben. Het is zelfs mogelijk om op individueel niveau te zien wie op welke manier gereageerd en gehandeld heeft op de phishing-mail.
Realiseer dat de data na enkele dagen mogelijk ietwat vervuild gaat raken. Ervaring leert dat zodra de eerste groep eindgebruikers de test niet doorstaan heeft, het (vooral bij de allereerste Attack Simulation Training) daarna als een lopend vuurtje door de organisatie gonst dat het om bewuste test phishing-mail gaat. Mogelijk gaan gebruikers daarna bewust op de link klikken om te zien wat er vervolgens gebeurt, terwijl zij zonder bericht van collega’s mogelijk anders gehandeld hadden.
Tot slot
Ik hoop met het bovenstaande de mogelijkheden van Attack simulation training en de waarde hiervan voor jouw organisatie geïllustreerd te hebben. Mocht je geïnteresseerd zijn in dit onderwerp of ondersteuning wensen met opzetten van een Attack simulation training? Laat het ons weten via hello@blaud.com
Auteur: Tim Struik