Self-Audit: Tools, Methoden und hilfreiches zum Thema Awareness

Da ich mich aktuell verstärkt mit der Auditierung von (Kunden)-Systemen auseinander setze, möchte ich heute allen Suchenden ein paar nützliche Hinweise und Links mit Fokus auf User Awareness Testing vermitteln. Ich unterscheide dabei nach den gängigen Angriffsmethoden (Spear)-Phishing, USB-Drop und allgemeiner Awareness-Tests.

(Spear)-Phishing:

Einen tollen Artikel zum Thema hat Robert Wortmann von Teamix / ProAct kürzlich verfasst:

https://blog.teamix.de/2017/06/28/email-phishing-simulation-awareness-test/

Das von Ihm verwendete, kostenlose Tool von Trend Micro wurde auch von mir mehrfach und mit großem Erfolg (wenn man von Erfolg sprechen kann – eigentlich ist es eher traurig, wie einfach man die User täuschen kann) verwendet:

https://phishinsight.trendmicro.com/

Einen ähnlichen und ebenfalls kostenfreien Einsatz bietet der Phishing Security Test von KnowBe4:

https://www.knowbe4.com/phishing-security-test-offer

Eine flexiblere, aber aufwändigere Alternative zu den beiden oben genannten Werkzeugen stellt GoPhish dar: https://getgophish.com/

Ebenfalls kostenlos, aber im Setup doch etwas hakelig.

USB-Drop:

Der von Elie Bursztein auf der Blackhat USA 2016 vorgeführte USB-Angriff funktioniert in dieser Form tatsächlich. Man kann es sich also leicht machen, indem man einfach billige Sticks kauft und die Files mit IMG001.jpg.html selbst erstellt ODER man verwendet ein kostenloses Tool von KnowBe4:

https://www.knowbe4.com/usb-security-test

Der Vorteil der KnowBe4-Variante ist das professionelle Dashboard, welches die Auswertung der Treffer grafisch schön aufbereitet.

Ich habe persönlich eine Mischung aus beiden Varianten gewählt, zusätzlich haben meine Sticks noch eine autorun.inf in Petto, welche auf ein Eicar-Testfile zeigt. Des Weiteren verstecken sich noch weitere, mit Word-Macro und Eicar infizierte Files auf dem Stick. Die „Bilddateien“ zeigen lediglich auf einen Webserver, auf welchem ich anhand der access.log-Files sowohl IP als auch User Agent auswerten kann.

allgemeine Awareness:

-Phone Phishing > Als Mitarbeiter eine IT Support Firma ausgeben und Windows Zugänge abfragen

-CEO-Fraud „Light“ > Mail des Geschäftsführers an gezielte Personen mit Ransomware-PDF im Anhang. Als infiziertes File lässt sich zB. das PDF aus dem USB-Drop-Szenario von KnowBe4 gut verwenden

-Spear Phishing, Fortsetzung > Amazon Gutscheine , Paypal Account Reset und OWA-Passwort-Reset, alles mit Phish Insight von Trend Micro

-Access Gaining > Fremde Person an Kopierer, 15 Minuten Verweildauer in sensiblen Bereichen wie Verwaltung etc. Erfordert keine Tools, sondern einfach nur ein sicheres Auftreten

-Shoulder Surfing: In Pausenbereich oder Raucherecke stellen und den Usern dabei zusehen, wie sie ihr Smartphone entsperren. Wenn klar erkennbar ist, welchen Code der User verwendet, dann entweder sofort laut den Code sagen, grinsen und gehen oder alternativ eine Liste erstellen und die User im Anschluss / nach Abschluss der Audits darauf hinweisen

Wie ihr seht, alles eigentlich nicht so aufwändig – aber der Effekt der Maßnahmen ist jedes mal überwältigend