morpheussuhl
Goto Top

Mitarbeiter Sensibilisierung durch Fake Datei

Hallo,

ich bin bei uns in der Firma der IT-Sicherheitsbeauftragte.

Nun habe ich zur Sensibilisierung folgendes vor:

Ich möchte bei uns auf dem Firmengelände USB-Sticks verteilen, wo zum Beispiel eine PDF-Datei drauf ist namens "Gehaltslisten.pdf".
Nun soll diese PDF ein Fake sein, die mir dann eine ausgaben in eine Datei bei uns auf dem Server, wo drinnen steht wer hat sie angeklickt und von welchem Computer aus.
Dies soll auch nur in unserem Netzwerk funktionieren.

Gibt es eine Möglichkeit das zu verwirklichen (Vlt. gibt es ja sowas schon fertig) oder hat jemand eine andere Idee?
Es muss auch nicht direkt eine PDF sein kann auch eine Excel oder Word sein.
Überlegt hatte ich das mit einer Batch-Datei zu lösen, nur sind solche Dateien zu auffällig.
Wenn das ganze dann funktioniert hätte ich es auch noch als Fake-Mail verpackt und in der Firm versendet.


Keine sorge mit unsere Geschäftsführung, Datenschutz, Betriebsrat ist alles abgeklärt.
Die MA sollen auch nicht öffentlich an den Pranger gestellt werden, die Daten wer zugegriffen hat sollen nur für mich und die Führung sein.
Ich möchte die MA dann in einer Schulung aufklären und somit sensibilisieren.


ich freue mich auf eure Antworten.

MfG

Content-Key: 1508227247

Url: https://administrator.de/contentid/1508227247

Printed on: May 24, 2024 at 09:05 o'clock

Member: SlainteMhath
SlainteMhath Nov 15, 2021 at 11:15:33 (UTC)
Goto Top
Moin,

mit PDF geht das mEn nur durch Ausnutzen von Sicherheitslücken. Verwendest du aber ein DOCM oder XLSM dann geht das mit legitimen Bordmittlen und ein bischen VBA Code (und 1-2 zusätzliche Klicks - aber wenn die Neugierde groß genug ist....)

lg,
Slainte
Member: Inf1d3l
Inf1d3l Nov 15, 2021 at 11:18:23 (UTC)
Goto Top
Deine Mitarbeiter dürfen nicht explizit freigegebene USB-Sticks an Rechner anschließen?
Member: em-pie
em-pie Nov 15, 2021 updated at 11:21:06 (UTC)
Goto Top
Moin,

also für den Fall, dass ihr die Dateierweiterungen ausgeblendet habt:
Würde ich als ITler den Stick finden, würde ich prüfen, wie die tatsächliche Dateiendung lautet. Die Datei könnte ja nach Gehaelter.pdf aussehen, tatsächlich es es aber eine Gehaelter.pdf.cmd, die jedoch das Icon des PDF-Betrachters hat.

Wäre dem so, würde ich mir im Editor den Quellcode der Batch anschauen.
Dort würde ich dann vermutlich sehen, dass dort zum einen der Rechnername mit Uhrzeit in eine Textdatei geschrieben wird und im Anschluss eine PDF-Datei (versteckt-Attribut auf dem Stick) geöffnet wird.

Wäre dem so, würde ich den Stick formatieren und anderweitig nutzen.

Also so schaue ich mir immer unbekannte Stick als erstes an - natürlich in einer gesicherten Unix-Umgebung (getrennt vom Netzwerk).

Edit: Ja, ein sehr banales Szenario, aber wie viele User würden dies erkennen?

Gruß
em-pie
Member: Morpheussuhl
Morpheussuhl Nov 15, 2021 at 11:21:03 (UTC)
Goto Top
Zitat von @Inf1d3l:

Deine Mitarbeiter dürfen nicht explizit freigegebene USB-Sticks an Rechner anschließen?

Ja leider ist so gewünscht. Um dieses zu ändern möchte ich unsere GF zeigen wie einfach es ist eine Virus darüber ins NW zu bekommen.
Member: Doskias
Doskias Nov 15, 2021 at 11:23:52 (UTC)
Goto Top
Moin,

ich stelle mir die Frage, wieso bei euch die USB-Ports für USB-Sticks geöffnet sind. Muss wirklich jeder Mitarbeiter permanent Daten auf oder von USB-Sticks kopieren?

Ansonsten. Schreibe ein kurzes Auto-Start Skript, was den Rechnernamen und eingeloggten User per Mail an dich übermittelt oder in eine Datei schreibt. Wie die Datei genau heißt spielt keine Rolle. Versteck diese für andere Benutzer und der User sieht sogar nur einen leeren USB Stick.

Noch besser: Lege eine defekte PDF-Datei dort ab indem du einfach ein Bild als pdf abspeicherst. Dann gibt es eine Fehlermeldung im PDF-Reader und du wirst zusehen können, wie der Stick von einem Rechner zum nächsten wandert, ganz nach dem Motto: Bei mir geht's nicht, schau du mal.

Noch ein Tipp: Schreib auf den Stick und die Datei "Diplomarbeit" oder "Bachelorarbeit" oder "Abschlussarbeit". Dann steigt die Chance. Bei Gehaltslisten haben einige (hoffentlich viele) noch Skrupel sie zu öffnen und öffnen die Datei nicht. Bei einer Abschlussarbeit weckst du aber die Hilfsbereitschaft der Menschen, wodurch die Chance steigt, dass sie den Stick einstecken und auf die Datei klicken face-wink

Im Regelfall wird die Malware beim Einstecken schon ausgeführt. Der Doppelklick auf die Datei ist dann schon der doppelte Boden

Gruß
Doskias
Member: Doskias
Doskias Nov 15, 2021 at 11:26:28 (UTC)
Goto Top
Zitat von @em-pie:
also für den Fall, dass ihr die Dateierweiterungen ausgeblendet habt:
Würde ich als ITler den Stick finden, würde ich prüfen, wie die tatsächliche Dateiendung lautet. Die Datei könnte ja nach Gehaelter.pdf aussehen, tatsächlich es es aber eine Gehaelter.pdf.cmd, die jedoch das Icon des PDF-Betrachters hat.

Tipp hierzu: Via GPO das Anzeigen von Dateiendungen erzwingen. Unsere Mitarbeiter werden bei doppelten Dateiendungen misstrauisch.
Member: Morpheussuhl
Morpheussuhl Nov 15, 2021 at 11:29:31 (UTC)
Goto Top
Zitat von @Doskias:

Moin,

ich stelle mir die Frage, wieso bei euch die USB-Ports für USB-Sticks geöffnet sind. Muss wirklich jeder Mitarbeiter permanent Daten auf oder von USB-Sticks kopieren?

Ansonsten. Schreibe ein kurzes Auto-Start Skript, was den Rechnernamen und eingeloggten User per Mail an dich übermittelt oder in eine Datei schreibt. Wie die Datei genau heißt spielt keine Rolle. Versteck diese für andere Benutzer und der User sieht sogar nur einen leeren USB Stick.

Noch besser: Lege eine defekte PDF-Datei dort ab indem du einfach ein Bild als pdf abspeicherst. Dann gibt es eine Fehlermeldung im PDF-Reader und du wirst zusehen können, wie der Stick von einem Rechner zum nächsten wandert, ganz nach dem Motto: Bei mir geht's nicht, schau du mal.

Noch ein Tipp: Schreib auf den Stick und die Datei "Diplomarbeit" oder "Bachelorarbeit" oder "Abschlussarbeit". Dann steigt die Chance. Bei Gehaltslisten haben einige (hoffentlich viele) noch Skrupel sie zu öffnen und öffnen die Datei nicht. Bei einer Abschlussarbeit weckst du aber die Hilfsbereitschaft der Menschen, wodurch die Chance steigt, dass sie den Stick einstecken und auf die Datei klicken face-wink

Im Regelfall wird die Malware beim Einstecken schon ausgeführt. Der Doppelklick auf die Datei ist dann schon der doppelte Boden

Gruß
Doskias

Die Idee ist gut, nur ist Autostart im NW ausgeschaltet.

Was müsste in dem Script stehen das ich die Informationen bekomme?
Member: Morpheussuhl
Morpheussuhl Nov 15, 2021 at 11:32:43 (UTC)
Goto Top
Zitat von @Doskias:

Zitat von @em-pie:
also für den Fall, dass ihr die Dateierweiterungen ausgeblendet habt:
Würde ich als ITler den Stick finden, würde ich prüfen, wie die tatsächliche Dateiendung lautet. Die Datei könnte ja nach Gehaelter.pdf aussehen, tatsächlich es es aber eine Gehaelter.pdf.cmd, die jedoch das Icon des PDF-Betrachters hat.

Tipp hierzu: Via GPO das Anzeigen von Dateiendungen erzwingen. Unsere Mitarbeiter werden bei doppelten Dateiendungen misstrauisch.

Die Dateiendungen sind bei uns Standartmäßig ausgeschaltet.

Da wir nur 2 IT-ler sind und der Rest nicht gerade die gebildetsten User gehe ich davon aus das keiner nach der Endung schauen wird. Wer doch hat der MA seine Job richtig gemacht.
Member: Doskias
Doskias Nov 15, 2021 at 11:40:41 (UTC)
Goto Top
Zitat von @Morpheussuhl:
Was müsste in dem Script stehen das ich die Informationen bekomme?

kommt drauf an was du alles an Infos ermitteln willst. Im Prinzip brauchst du nur hostname und whoami und schreibst das in eine Datei. Fertig face-smile

Zitat von @Morpheussuhl:
Die Dateiendungen sind bei uns Standartmäßig ausgeschaltet.

Dann anstellen. Die User sind schon irritiert wenn sie auf einmal doppelte Dateiendungen sehen.
Member: lcer00
lcer00 Nov 15, 2021 at 11:43:01 (UTC)
Goto Top
Hallo,

Das ganze ist ne zweischneidige Sache. Wir hatten neulich mal über Azure eine Phishing-Email-Simulation laufen. zunächst hat keiner unserer Mitarbeiter draufgeklickt (Sensibilisierte Mitarbeiter face-smile ). Dann dachten sich aber die 2 sensibilisiertesten, dass das ja bestimmt ne Simulation ist - und wollten mal sehen, was passiert.

Soll heißen. Wenn Du sowas machst, musst Du ggf. hinterher für alle ganz deutlich klarstellen, dass das eine Simulation war und das es das nächste mal keine sein wird. Sonst hast Du das Risiko einer Kompromittierung durch Deine Aktion erhöht. (In deinem Fall würde ich also die angedachte Schulung von vornherein fest einplanen).

Wenn es zur Auswertung mit der GF gedacht ist, wäre es ggf zusätzlich sinnvoll, mal über 1 Woche oder so, alle gesteckten Sticks (mit Hersteller, Seriennummer) zu loggen und zu analysieren, wie viele (unterschiedliche) im Umlauf sind. Mich würden viele verschiedene Sticks, von denen keiner von der Firma ausgegeben wurde, mehr beunruhigen, als eine erfolgreiche Penetration in der Simulation.

Grüße

lcer
Member: em-pie
em-pie Nov 15, 2021 at 11:44:43 (UTC)
Goto Top
Zitat von @Doskias:
Zitat von @Morpheussuhl:
Die Dateiendungen sind bei uns Standartmäßig ausgeschaltet.

Dann anstellen. Die User sind schon irritiert wenn sie auf einmal doppelte Dateiendungen sehen.
Da würde ich mich nicht drauf verlassen.

Es gibt bei uns Kollegen (habe es aufgegeben...), die versuchen aus dem "Datei öffnen"-Dialog in Word eine Excel-Datei und öffnen und wundern sich, warum die die Datei nicht finden....
Da bezweifle ich mal, dass die den Unterschied zwischen myExcel.xlsx.cmd und myExcel.xlsx kennen.
Von *.xls rede ich mal nicht (wobei eine AV-Software hier mit hoher Wahrscheinlichkeit greifen dürfte)


Aber die Erweiterung würde ich dennoch forciert einblenden. Selbst, wenn das nur 25% der Leute erkennen (und entsprechend handeln), ist die Gefahr schon um 25% reduziert
Member: Morpheussuhl
Morpheussuhl Nov 15, 2021 at 11:48:37 (UTC)
Goto Top
Zitat von @Doskias:

Zitat von @Morpheussuhl:
Was müsste in dem Script stehen das ich die Informationen bekomme?

kommt drauf an was du alles an Infos ermitteln willst. Im Prinzip brauchst du nur hostname und whoami und schreibst das in eine Datei. Fertig face-smile

Zitat von @Morpheussuhl:
Die Dateiendungen sind bei uns Standartmäßig ausgeschaltet.

Dann anstellen. Die User sind schon irritiert wenn sie auf einmal doppelte Dateiendungen sehen.

Die Idee ist schon mal gut mit den Dateiendungen. Kann ich gleich mit in die Schulung nehmen.

Als Script also ca. so:
(

hostname

whoami

)> Ausgabe.txt

wie kann ich da einen NW-Pfad mit einbringen?
Und der Dateiname soll ein Datum und die Uhrzeit beinhalten.
Member: Morpheussuhl
Morpheussuhl Nov 15, 2021 at 11:56:02 (UTC)
Goto Top
Zitat von @lcer00:

Hallo,

Das ganze ist ne zweischneidige Sache. Wir hatten neulich mal über Azure eine Phishing-Email-Simulation laufen. zunächst hat keiner unserer Mitarbeiter draufgeklickt (Sensibilisierte Mitarbeiter face-smile ). Dann dachten sich aber die 2 sensibilisiertesten, dass das ja bestimmt ne Simulation ist - und wollten mal sehen, was passiert.

Soll heißen. Wenn Du sowas machst, musst Du ggf. hinterher für alle ganz deutlich klarstellen, dass das eine Simulation war und das es das nächste mal keine sein wird. Sonst hast Du das Risiko einer Kompromittierung durch Deine Aktion erhöht. (In deinem Fall würde ich also die angedachte Schulung von vornherein fest einplanen).

Wenn es zur Auswertung mit der GF gedacht ist, wäre es ggf zusätzlich sinnvoll, mal über 1 Woche oder so, alle gesteckten Sticks (mit Hersteller, Seriennummer) zu loggen und zu analysieren, wie viele (unterschiedliche) im Umlauf sind. Mich würden viele verschiedene Sticks, von denen keiner von der Firma ausgegeben wurde, mehr beunruhigen, als eine erfolgreiche Penetration in der Simulation.

Grüße

lcer

Schulungen sind 2 mal jährlich geplant. Bei der Nächsten löse ich meine Absichten natürlich auch auf.

Sinn der Sache soll sein das ich Sticks generell verbiete und eine Datenschleuse in der IT einrichte mit Protokoll.
Davon möchte ich mit meinem Test die GF überzeugen.
Member: lcer00
lcer00 Nov 15, 2021 at 12:03:45 (UTC)
Goto Top
Hallo,
Zitat von @Morpheussuhl:

Sinn der Sache soll sein das ich Sticks generell verbiete und eine Datenschleuse in der IT einrichte mit Protokoll.
Davon möchte ich mit meinem Test die GF überzeugen.

Die GF muss aber auch entscheiden, ob dafür Ressoucen bereitgestellt werden sollen. Dazu muss sie wissen, wie häufig das vor kommt. Es macht einen Unterschied, ob das 1x pro Woche um eine Datei geht, oder es täglich bei 20% der Mitarbeiter vorkommt.

Windows-Bordmittel - siehe: https://www.techrepublic.com/article/how-to-track-down-usb-flash-drive-u ...

Die Events könnte man schön elegant an einen zentralen Eventlog-Server weiterleiten. https://docs.microsoft.com/de-de/windows/win32/wec/windows-event-collect ...

Ansonsten können das auch etliche Antivirenprogramme mitloggen.

Grüße

lcer
Member: tech-flare
tech-flare Nov 15, 2021 at 12:09:11 (UTC)
Goto Top
Zitat von @Morpheussuhl:

Hallo,
Hi

ich bin bei uns in der Firma der IT-Sicherheitsbeauftragte.

ok
Nun habe ich zur Sensibilisierung folgendes vor:
Wenn du der Sicherheitsbeauftrage für die IT bist, dann würde ich als 1. die USB Ports für unbefugten Zugriff sperren!

Gibt es eine Möglichkeit das zu verwirklichen (Vlt. gibt es ja sowas schon fertig) oder hat jemand eine andere Idee?
Das sollte der IT-Sicherheitsbeauftragte doch wissen
Keine sorge mit unsere Geschäftsführung, Datenschutz, Betriebsrat ist alles abgeklärt.
Die MA sollen auch nicht öffentlich an den Pranger gestellt werden, die Daten wer zugegriffen hat sollen nur für mich und die Führung sein.
Ich möchte die MA dann in einer Schulung aufklären und somit sensibilisieren.
Wird nichts bringen....dies haben schon mehrere Tests und Studien gezeigt.

Aber die Erfahrung werdet ihr auch sammeln.
Member: Doskias
Doskias Nov 15, 2021 at 12:33:21 (UTC)
Goto Top
Zitat von @tech-flare:
Wenn du der Sicherheitsbeauftrage für die IT bist, dann würde ich als 1. die USB Ports für unbefugten Zugriff sperren!

Hat er ja oben schon geschrieben, dass der Chef das nicht will und er damit dem Chef die Gefahr zeigen will.

Zitat von @em-pie:
Zitat von @Doskias:
Die User sind schon irritiert wenn sie auf einmal doppelte Dateiendungen sehen.
Da würde ich mich nicht drauf verlassen.
Es dauert etwas bis die Leute sensibilisiert sind. Aber auf Dauer wirkt es. Meine User sind soweit sensibilisiert, dass sie mich bei doppelten Dateiendungen sofort anrufen, selbst wenn es Datei.docx.docx ist. Und das ist gut so.

Es gibt bei uns Kollegen (habe es aufgegeben...), die versuchen aus dem "Datei öffnen"-Dialog in Word eine Excel-Datei und öffnen und wundern sich, warum die die Datei nicht finden....
Da bezweifle ich mal, dass die den Unterschied zwischen myExcel.xlsx.cmd und myExcel.xlsx kennen.
Von *.xls rede ich mal nicht (wobei eine AV-Software hier mit hoher Wahrscheinlichkeit greifen dürfte)
Stimmt. Auf dem Weg sieht man es nicht sofort. Aber bei einem unbekannten USB-Stick schau ich schon vorher drauf und würde dann ja erst das Programm wählen.

Aber die Erweiterung würde ich dennoch forciert einblenden. Selbst, wenn das nur 25% der Leute erkennen (und entsprechend handeln), ist die Gefahr schon um 25% reduziert.
Auf Dauer wird die Zahl dann steigen, würde ich vermute. Und selbst wenn nicht hast du Recht. 25% weniger Gefahr ist und bleibt 25% weniger Gefahr


Zitat von @Morpheussuhl:
Als Script also ca. so:
(
hostname
whoami
)> Ausgabe.txt

wie kann ich da einen NW-Pfad mit einbringen?
Und der Dateiname soll ein Datum und die Uhrzeit beinhalten.

Datum und Uhrzeit erhälst du mit %time% und %date%.

Schreiben in Netzwerk zum Beispiel via:
echo %date% >> \\Pfad\Datei.txt

Ganzen Code würde ich persönlich so machen:
echo %date% >> \\Server\Protokoll.txt
echo %time% >> \\Server\Protokoll.txt
echo %username% >> \\Server\Protokoll.txt
echo %COMPUTERNAME% >> \\Server\Protokoll.txt
echo ----- >> \\Server\Protokoll.txt

Dann hast du eine Datei in chronologischer Reihenfolge und nicht 40 Dateien am Ende.

Gruß
Doskias
Mitglied: 137960
137960 Nov 15, 2021 at 12:37:51 (UTC)
Goto Top
Von der Aktion selbst halte ich nichts, weil es nicht sinnvoll ist, einen Brand zu legen, um auf eine Brandgefahr hinzuweisen.

Entweder kann man davon ausgehen, dass die Mitarbeiter mit "offenen USB-Ports" entsprechend achtsam umgehen - oder man sperrt die Ports, wenn man dazu die technischen Möglichkeiten hat (per Software oder mechanisch).

Und wenn, dann würde ich keine PDF benutzen. Denn die erfordert, dass man Sicherheitslücken ausnutzt oder entsprechend Server (meist Command&Control-Server) installieren muss, die von sich aus schon wieder Sicherheitslücken sind.

Ich würde statt dessen zu "Rubber Duckys" greifen. Das sind USB-Sticks, die wie Speichersticks aussehen können, aber als Keyboard programmiert sind. Damit lassen sich sogar Software-Portsperren (Endpoint Management) umgehen, weil die meist Speichersticks, aber keine extra Keyboards blockieren.

Jedenfalls tippt dann der Rubber Ducky automatisiert die passenden Tasten für den User. Das kann so schnell gehen, dass der User das nicht merkt bzw. es zu spät ist, um zu reagieren.

Ich würde einfach unter Windows Notepad oder Word starten und dort automatisiert einen großen Text ausgeben (bzw. eingeben) lassen. Nach dem Motto: Wenn Du das hier lesen kannst, dann solltest Du beim nächsten Mal zweimal drüber nachdenken, irgendeinen gefunden USB-Stick an Deinen Rechner anzuschliessen. Danach noch Outlook starten, "Neue Mail" auswählen, ins Empfängerfeld die Mailadresse der Geschäftsführung und als Betreff nur "Ich kündige, weil ich so blöde war...." eingeben. Aber natürlich nicht absenden, sondern das Fenster geöffnet lassen.

Sowas wirkt nach. face-smile
Member: Fennek11
Fennek11 Nov 15, 2021 at 12:38:49 (UTC)
Goto Top
Zwei Ideen:

- Canary Token: Die bieten eine Warnnung, falls eine bestimmte Datei geöffnet wird
- Word/Excel ohne VBA: Ein Bild einbinden, dass vom eigenen Server geladen wird. Das Log zeigt die Zugriffe.
Member: em-pie
Solution em-pie Nov 15, 2021 at 12:46:30 (UTC)
Goto Top
@Doskias
stimmt natürlich, je häufiger man schult, desto höher der Grad der Sensibilisierung face-smile


ICH würde beim Script aber eine CSV-basierte Schreibweise vorziehen. Warum? die kann man recht zügig mit Excel auswerten face-smile

set incident=%date% %time%;%computername%;%username%
echo %incident%>>\\myserver\myShare\incident_log.csv

Ggf. noch pro Stick eine zusätzliche "Spalte" ergänzen, die einen individuellen Wert enthält (z.B. Stick 4711 oder Bonbon 0815). Dann sieht man auch, ob Sticks gewandert sind
Member: Morpheussuhl
Morpheussuhl Nov 15, 2021 at 12:48:55 (UTC)
Goto Top
Vielen Dank für die schnelle Hilfe.

MfG
Member: St-Andreas
St-Andreas Nov 15, 2021 at 14:44:18 (UTC)
Goto Top
Sprech das lieber mal mit dem Betriebsrat ab.
Member: em-pie
em-pie Nov 15, 2021 at 14:55:07 (UTC)
Goto Top
Zitat von @St-Andreas:

Sprech das lieber mal mit dem Betriebsrat ab.

Hat er doch, undzwar sogar im ersten Post geschrieben:
Keine sorge mit unsere Geschäftsführung, Datenschutz, Betriebsrat ist alles abgeklärt.
Member: aqui
aqui Nov 15, 2021 at 15:21:29 (UTC)
Goto Top
möchte ich unsere GF zeigen wie einfach es ist eine Virus darüber ins NW zu bekommen.
Stehen die kurz vor der Pensionierung ?? Solche simplen Banalitäten lernt Fritzchen der Azubi im ersten Lehrjahr bzw. hat es auch schon in der Schule mitbekommen.
Wem muss man heute solche Binsenweisheiten extra noch erklären zumal in der GSL ja vornehmlich auch Akademiker sitzen...aber egal !