Phishing Angriffe und über E-Mail versendete Malware sind eine grosse Bedrohung für eine Firma. Es gilt Vorsicht im Umgang mit verdächtigen E-Mails.
Genügt es, die Mitarbeitenden zu warnen? Bei Puzzle wollten wir einen Schritt weiter gehen und die Members mit Hilfe einer Phishing Awareness Kampagne sensibilisieren.
Planung
Im Vorfeld haben sich zwei Members zusammengeschlossen, um die Phishing Awareness Kampagne zu planen.
Aus rechtlichen Gründen ist es sehr wichtig, das OK des Managements zu haben. Deswegen wurden zwei weitere Members aus dem Management in unser Vorhaben miteinbezogen. Vier Personen wussten also von diesem Vorhaben, mehr nicht! Wir wollten den Kreis der Eingeweihten klein halten.
Phishing Framework Gophish
Wir haben uns für das OpenSource Phishing Framework Gophish entschieden. Mit diesem Framework können einfach E-Mail Templates und Landing Pages erstellt werden. Auch Kampagnen sind einfach zu planen.
Die Übersicht einer laufenden Kampagne hat man jederzeit in einem Dashboard. Man sieht die Anzahl der versendeten E-Mails, wie viele Personen die E-Mail geöffnet, den enthaltenen Link angeklickt, Daten eingegeben und die Mail an eine definierte Meldestelle gemeldet haben.
Um den Angriff möglichst echt aussehen zu lassen, haben wir eine neue Domain gekauft. Auch für den Kauf einer Domain, die der eigentlichen Firmen Domain ähnelt, braucht man das OK des Managements.
Auf diese Domain lautend, haben wir einen Mailserver konfiguriert. Dieser Mailserver wiederum konnte bei Gophish hinterlegt werden. Achtung: auch hier muss man mit dem Provider abklären, was erlaubt ist und welche Anzahl an E-Mails automatisiert versendet werden dürfen. Meistens ist die Limite aber hoch genug, so dass dies kein Problem ist.
Tag der Kampagne
Am Tag X war es dann so weit und die geplante Phishing Attacke konnte ausgeführt und damit die E-Mails versendet werden.
Wir waren aufgeregt, obwohl die Kampagne gut geplant war. Wie werden die Members reagieren? Und sagen wir mal so, das Resultat fiel anders aus, als wir es erwartet hatten!
Auswertung
Anschliessend an die Kampagne wurden die Resultate ausgewertet. Die Auswertung wurde anonymisiert den Members vorgestellt.
Es ist wichtig, dass die Auswertung der Kampagne in einem kleinen Kreis erfolgt und keine einzelnen Personen genannt werden. Es geht nicht darum, herauszufinden, wer reingefallen ist und wer nicht. Sondern es geht darum, ein Gesamtbild über die Phishing Awareness der Firma zu erhalten.
Eine Phishing Kampagne kann auch dazu führen, dass sich einzelne Personen angegriffen oder schuldig fühlen. Hier ist es wichtig, sich damit auseinanderzusetzen und niemanden schlecht fühlen zu lassen. Das war uns von Anfang an sehr wichtig.
Zusammenfassung
Die Members wurden sensibilisiert. Wir erhalten jetzt häufig Anfragen, die lauten: „Seid ihr das wieder?!“ Und oft antworten wir: „Nein, diesmal nicht, aber danke für die Meldung. Wir analysieren diese E-Mail weiter.“
Die Sensibilisierung ist nicht mit einer einzigen Kampagne abgeschlossen und die Phishing Awareness kein bleibender Zustand. Ebenfalls dazu gehört eine Schulung der Mitarbeiter und wiederholte Kampagnen. Wer weiss, was wir gerade planen…