tech365

Meer security awareness? Zo maak je zelf een Phishing campagne

Heb je er wel eens aan gedacht om zelf een phishing campagne te doen? Het is een ideale manier om een goed beeld te krijgen hoe de security awareness er in jouw bedrijf aan toe is. Een vermoeden is een, maar zien hoeveel mensen er voor gaas gaan na het ontvangen van een phishing e-mail zegt veel meer. Mijn advies? Doe het gewoon eens!

Voor bedrijven is het steeds lastiger om cyberdreigingen buiten de deur te houden. Er zijn diverse oplossingen en technieken die ingezet kunnen worden om de risico’s verder in te perken. Toch is het op dat vlak niet anders dan bijvoorbeeld een brandverzekering. Het enige dat je kunt doen is slimme voorzieningen treffen om het risico te verkleinen, zorgen dat je belangrijke spullen goed en veilig bewaard, en een verzekering nemen om je schade te vergoeden. Maar de kans dat er brand uitbreekt in je huis kun je alleen maar verkleinen, niet volledig wegnemen. Met cybersecurity is het niet anders. Het is geen kwestie of je een keer slachtoffer wordt, maar meer een zaak van wanneer.

Soms staren wij ons een beetje blind als het gaat om de maatregelen die je kunt nemen om dreigingen te voorkomen. Een goede firewall, misschien nog wat Next Gen mogelijkheden erbij, goede virusscanner op de computers, en wellicht nog een wat vaker een back-up maken. Maar zijn dit wel de grootste risico’s waar je rekening mee moet houden? Als je het mij vraagt niet. Het grootste risico is wat mij de factor mens. Veel ransomware, bankingtrojans, en andere kwaadwillende software krijgt een open deur aangeboden door de mens achter de machine. En niet expres, maar vaak omdat men simpelweg niet beter weet of er nooit vertelt is hoe je hier mee om moet gaat. Kun je verwachten dat een zestigjarige vrijwilliger in de ouderenzorg in kan schatten of dat mailtje van bank echt is? Of dat je vriend of vriendin weet dat het Facebookbericht niet een link bevat naar een gekke foto van jou, maar naar malware?

Phish illustratie

Sophos Phish Threat is een product dat ontwikkeld is om inzicht te geven in de kwetsbaarheid van je organisatie of team. Daarnaast helpt het je in het verbeteren van de security awareness. Door middel van een in scène gezette phishing campagne benader je deze personen per e-mail en zie je hoe zij handelen. Trappen ze erin, verwijderen ze jouw bericht ongelezen, of melden zij het bericht netjes aan de IT afdeling? Je kunt je vast wel voorstellen dat een dergelijke campagne veel verassingen met zich mee kan brengen.

In het geval dat een persoon erin trapt en een link in het bericht aanklikt dan krijgen zij een waarschuwing te zien. Daaropvolgend kun je kiezen uit diverse awareness acties, zoals een video over phishing of iets interactief. Jij als organisator van de campagne kunt ook zien welke personen op de gevaarlijke link hebben geklikt, of zijn of haar gebruikersnaam en wachtwoord ingevoerd hebben.

Sophos Phish Threat kent vele standaard e-mails die er angstvallig bekend uitzien. Zo kun je gebruikmaken van een e-mail van de ABN AMRO bank, PayPal, Spotify, Facebook of van merken als Microsoft en Apple. Daarnaast is het ook mogelijk om de lay-out volledig zelf vorm te geven bijvoorbeeld in de huisstijl van je onderneming. Het voordeel hieraan is dat je het kunt doen als je het wilt, en als je het simpel wilt houden gewoon gebruik maakt van de aanwezige bekende templates. Je kunt het dus zo echt maken als je zelf wilt. Er zijn ook verschillende soorten campagnes te starten variërend van het klikken op een link, het invullen van wachtwoorden, en het openen van gevaarlijke bijlagen.

Basisconfiguratie en whitelisting

Als eerste stap ga je naar de website van Sophos Phish Threat en maak je een account aan. Met dit account is het mogelijk om voor 100 gebruikers gedurende 30 dagen een campagne te draaien. Wil je het product langer gebruiken of het aantal gebruikers verhogen dan moet je een abonnement hebben. In dit geval meldt ik mij aan voor een trial account.

spt_setup_01

Eenmaal voorzien van een account krijg je toegang tot de Phish Threat Portal. Mocht je hier niet direct in landen dan selecteer je het product uit de lijst. Voordat je aan de slag kunt met het maken van een campagne is het noodzakelijk om mensen toe te voegen bij People.

spt_setup_02

Alle mensen die je toegevoegd bij People kun je straks als geadresseerde gebruiken voor het verzenden van de phishing e-mails. Als je het permanent gaat gebruiken dan kun je een koppeling met je Active Directory maken. Dit is niet noodzakelijk en je kunt het ook handmatig doen of via een lijst (csv-bestand) importeren. De mensen in de lijst kun je eventueel groeperen om straks makkelijker onderscheid te kunnen maken bij het verzenden, bijvoorbeeld: directie, financiën, buitendienst, etc.

spt_setup_03

In het Settings scherm zitten een aantal handige opties die je moet doorlopen. Wanneer je gebruik wilt maken van Active Directory integratie kun je hier de Sophos AD Sync tool downloaden en je domein koppelen. Als deze synchronisatie is ingeregeld dan worden de gewenste accounts automatisch beschikbaar in Phish Threat om te gebruiken in een campagne. Er is ook Outlook Add-in te downloaden voor je eindgebruikers waarmee zij eenvoudig berichten kunnen rapporten aan Sophos. Daarnaast kun je desgewenst een mailbox toevoegen waarin je een kopie van deze berichten wilt ontvangen.

De laatste optie bevat informatie over de domeinnamen die Sophos gebruikt om te verzenden en de bijbehorende IP-adressen. Het is aanbevolen om zowel de domeinnamen als de adressen op te nemen in je spamfilter als vertrouwde domeinen (whitelist).

spt_setup_04

In de bovenstaande screenshot zie je duidelijk de verschillende domeinen die door Sophos worden gebruikt als afzender van de spam-berichten. Als je dit alles doorlopen en uitgevoerd hebt dan ben je klaar voor je eerste campagne.

Aanmaken van je eerste phishing campagne

Nu alles voorbereid is kunnen we aan de slag met het aanmaken van de eerste phishing campagne. Kies in het menu voor Campaigns. Vanuit dit scherm heb je zicht op al je actieve en afgeronde campagnes, en de resultaten. Voor het aanmaken van een nieuwe campagne kies je voor New Campaign.

spt_campagne_01

Geef je campagne een naam en kies een van de vier mogelijke typen. Je kunt kiezen uit:

  • Physhing; Lokt de ontvanger uit om op een link te klikken in een valse e-mail.
  • Credential Harvesting; Lokt de ontvanger uit tot het invullen van zijn of haar gebruikersnaam en wachtwoord (worden niet bewaard).
  • Attachment; De ideale manier om te zien of de ontvanger de zogenaamd malafide bijlage opent.
  • Training; Biedt de ontvangers een verplichtte awereness training die jij voor ze klaar kunt zetten.
spt_campagne_02

Voor dit voorbeeld maak ik een campagne aan met de naam “Test Phishje vangen” en kies voor het type Phishing. De taal die je in dit scherm selecteerd bepaald de mogelijke berichten die je kunt sturen. Zo is het valse mailtje van ABN AMRO bijvoorbeeld gekoppeld aan de Nederlandse taal. Facebook is beschikbaar in meerdere talen.

spt_campagne_03

In het volgende scherm kun je de daadwerkelijke phishing e-mail kiezen. Je hebt de keuze uit een breed scala aan valse e-mails varierend van banken, verzekeringen, generieke berichten, internetdiensten, en social networks. Je mag er maximaal vijf selecteren die de ontvangers willekeurig krijgen. Zo kun je voorkomen dat iedereen dezelfde e-mail ontvangt.

spt_campagne_04

Als voorbeeld selecteer ik een phising e-mail van ABN AMRO. Het bericht zet aan tot het aanvragen van een nieuwe betaalpas voor de E.dentifier 3.0. Uiteraard complete onzin, maar het is wel verpakt in een erg goed jasje.

spt_campagne_05

Heb je liever een verzekeringsmaatschappij die vraagt om op de knop Inloggen te klikken? Geen probleem, ook die heb je met een simpele muisklik.

spt_campagne_06

De volgende keuze die je krijgt is de training die verschijn nadat iemand in je phishing bericht is getrapt. Als zij op de link klikken dan verschijnt er eerst een waarschuwingsbericht en hierna volgt een training. Je hebt verschillende soorten trainingen variërend van een video tot aan een interactieve awareness sessie.

spt_campagne_09

De volgende stap geeft je de mogelijkheid de verschillende stappen in de campagne aan te passen naar eigen wens. De naam van de “verzender”, het e-mailadres, onderwerp, en de body van het bericht. Het is ook mogelijk om hier je eigen huisstijl in te gebruiken en zo een bericht te maken alsof het verzonden is door je directeur. Ook de landingspagina waarop de slachtoffer terecht komen is aan te passen. Voeg hier je bedrijfslogo in en het is gelijk al wat serieuzer en herkenbaar. Het is HTML, dus de mogelijkheden zijn eindeloos.

De laatste stap voordat je de berichten kun gaan verzenden is de selectie wie hem in zijn of haar mailbox gaat krijgen. Kies losse personen uit de lijst, of maak gebruik van je eerder aangemaakte groepen.

spt_campagne_12

Campagne is aangemaakt, de opmaak naar wens en als laatste heb je de ontvangers van de emails gekozen. Nu is het alleen nog een kwestie van het bericht op het gewenste tijdstip te verzenden. Sophos heeft hier een aantal keuzes voor je beschikbaar gesteld. Je kies eerst van wanneer tot wanneer de campagne loopt. Vervolgens bepaald je het moment waarop je de berichten wilt verzenden en kies je een percentage van de berichten die per tijdblok verzonden wordt. Bijvoorbeeld 10% per 15 minuten. Hiermee voorkom je dat ineens iedereen in het kantoor op hetzelfde moment een mailtje krijgt. Pling, pling, pling, pling, ja dat valt wel een beetje op.

spt_campagne_13

Hier zie je duidelijk hoe je 50% van de berichten per aantal uur kan verzenden. Nadat je dit gekozen hebt en de campagne looptijd hebt aangegeven gaat de campagne live op het door jou gekozen moment. And now we wait!

spt_campagne_14

Realtime inzicht in je campagne

De mails zijn de deur uit en iedereen gooit ze braaf in de virtuele prullenbak. Of toch niet? In het dashboard en bij je campagne overzicht zie je de huidige stand van zaken. Het percentage verzonden phishing e-mails, het aantal personen dat het bericht heeft geopend, het aantal keer dat het bericht is gerapporteerd, het aantal “slachtoffers”en als laatste het aantal maal dat de awareness training is gevolgd. Het handige is dat dit door middel van percentagecirkels wordt weergegeven die je zo in een rapport kunt verwerken.

spt_report_01

Aanvullend op de score van de losse campagne wordt er ook overkoepeld nog gekeken naar je Awareness factor.

spt_report_02

Voorbeeld van verschillende phishing typen

Bij het aanmaken van je campagne waren er drie soorten phishing types die je kon selecteren. Hieronder heb ik van iedere variant een voorbeeld geplaatst zodat je een idee krijgt hoe dit eruit ziet.

De eerste is een e-mail zogenaamd van het Centraal Justitieel Incasso Bureau. Na het klikken op de link krijg je de waarschuwingspagina in beeld. Got ya!

Het volgende voorbeeld richt zich op het stelen van je gebruikersnaam en wachtwoord voor PayPal. Je ontvangt een mail met een link en klik je op de link dan kom je op een pagina die net lijkt alsof hij van PayPal is. Na het invoeren van je gegevens krijg je uiteraard een waarschuwing.

De laatste variant is een malafide bijlage. In dit geval een Microsoft Word document met een kwaadwillende macro. Na het openen van de bijlage, in dit geval een CV van een nep sollicitant, hoef je alleen nog maar de macro te activeren en het is gebeurd. Je krijgt geen directe waarschuwing maar een keurig mailtje met alle informatie.

Awareness is King!

Het is zo simpel als dat het er staat. Awareness is misschien wel de beste security oplossing die je hebt in het voorkomen van cybercriminaliteit. Moet je de rest dan maar achterwege laten? Nee, uiteraard niet. Pak het gelaagd aan, maar vergeet vooral de mens niet in de keten. Sophos Phish Threat is een hele goede oplossing waarmee je er op een eenvoudige manier aandacht kan besteden. Het pakket is voorzien van veel templates die je volledig naar wens kunt aanpassen. Aanrader! Voor meer informatie over het licentiemodel kun je terecht op de website van Sophos.

Phishing afbeelding: Vector Illustration by www.vecteezy.com

Martijn

Martijn is naast eigenaar van tech365 ook werkzaam als IT Professional. Zijn passies zijn gadgets, fotografie en alles wat met automotive te maken heeft. Je kunt hem ook vinden als blogger op wielerblog www.lifebehindbars.nl

Reageren

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Privacy opties

Wijzig je voorkeur voor het bijhouden van gegevens op tech365.

Privacybeleid | Sluiten
Instellingen