23
Mitarbeiter Sensibilisierung durch Fake Datei
Hallo,
ich bin bei uns in der Firma der IT-Sicherheitsbeauftragte.
Nun habe ich zur Sensibilisierung folgendes vor:
Ich möchte bei uns auf dem Firmengelände USB-Sticks verteilen, wo zum Beispiel eine PDF-Datei drauf ist namens "Gehaltslisten.pdf".
Nun soll diese PDF ein Fake sein, die mir dann eine ausgaben in eine Datei bei uns auf dem Server, wo drinnen steht wer hat sie angeklickt und von welchem Computer aus.
Dies soll auch nur in unserem Netzwerk funktionieren.
Gibt es eine Möglichkeit das zu verwirklichen (Vlt. gibt es ja sowas schon fertig) oder hat jemand eine andere Idee?
Es muss auch nicht direkt eine PDF sein kann auch eine Excel oder Word sein.
Überlegt hatte ich das mit einer Batch-Datei zu lösen, nur sind solche Dateien zu auffällig.
Wenn das ganze dann funktioniert hätte ich es auch noch als Fake-Mail verpackt und in der Firm versendet.
Keine sorge mit unsere Geschäftsführung, Datenschutz, Betriebsrat ist alles abgeklärt.
Die MA sollen auch nicht öffentlich an den Pranger gestellt werden, die Daten wer zugegriffen hat sollen nur für mich und die Führung sein.
Ich möchte die MA dann in einer Schulung aufklären und somit sensibilisieren.
ich freue mich auf eure Antworten.
MfG
ich bin bei uns in der Firma der IT-Sicherheitsbeauftragte.
Nun habe ich zur Sensibilisierung folgendes vor:
Ich möchte bei uns auf dem Firmengelände USB-Sticks verteilen, wo zum Beispiel eine PDF-Datei drauf ist namens "Gehaltslisten.pdf".
Nun soll diese PDF ein Fake sein, die mir dann eine ausgaben in eine Datei bei uns auf dem Server, wo drinnen steht wer hat sie angeklickt und von welchem Computer aus.
Dies soll auch nur in unserem Netzwerk funktionieren.
Gibt es eine Möglichkeit das zu verwirklichen (Vlt. gibt es ja sowas schon fertig) oder hat jemand eine andere Idee?
Es muss auch nicht direkt eine PDF sein kann auch eine Excel oder Word sein.
Überlegt hatte ich das mit einer Batch-Datei zu lösen, nur sind solche Dateien zu auffällig.
Wenn das ganze dann funktioniert hätte ich es auch noch als Fake-Mail verpackt und in der Firm versendet.
Keine sorge mit unsere Geschäftsführung, Datenschutz, Betriebsrat ist alles abgeklärt.
Die MA sollen auch nicht öffentlich an den Pranger gestellt werden, die Daten wer zugegriffen hat sollen nur für mich und die Führung sein.
Ich möchte die MA dann in einer Schulung aufklären und somit sensibilisieren.
ich freue mich auf eure Antworten.
MfG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1508227247
Url: https://administrator.de/contentid/1508227247
Printed on: April 20, 2024 at 04:04 o'clock
23 Comments
Latest comment
Moin,
mit PDF geht das mEn nur durch Ausnutzen von Sicherheitslücken. Verwendest du aber ein DOCM oder XLSM dann geht das mit legitimen Bordmittlen und ein bischen VBA Code (und 1-2 zusätzliche Klicks - aber wenn die Neugierde groß genug ist....)
lg,
Slainte
mit PDF geht das mEn nur durch Ausnutzen von Sicherheitslücken. Verwendest du aber ein DOCM oder XLSM dann geht das mit legitimen Bordmittlen und ein bischen VBA Code (und 1-2 zusätzliche Klicks - aber wenn die Neugierde groß genug ist....)
lg,
Slainte
Deine Mitarbeiter dürfen nicht explizit freigegebene USB-Sticks an Rechner anschließen?
Moin,
also für den Fall, dass ihr die Dateierweiterungen ausgeblendet habt:
Würde ich als ITler den Stick finden, würde ich prüfen, wie die tatsächliche Dateiendung lautet. Die Datei könnte ja nach
Wäre dem so, würde ich mir im Editor den Quellcode der Batch anschauen.
Dort würde ich dann vermutlich sehen, dass dort zum einen der Rechnername mit Uhrzeit in eine Textdatei geschrieben wird und im Anschluss eine PDF-Datei (versteckt-Attribut auf dem Stick) geöffnet wird.
Wäre dem so, würde ich den Stick formatieren und anderweitig nutzen.
Also so schaue ich mir immer unbekannte Stick als erstes an - natürlich in einer gesicherten Unix-Umgebung (getrennt vom Netzwerk).
Edit: Ja, ein sehr banales Szenario, aber wie viele User würden dies erkennen?
Gruß
em-pie
also für den Fall, dass ihr die Dateierweiterungen ausgeblendet habt:
Würde ich als ITler den Stick finden, würde ich prüfen, wie die tatsächliche Dateiendung lautet. Die Datei könnte ja nach
Gehaelter.pdf aussehen, tatsächlich es es aber eine Gehaelter.pdf.cmd, die jedoch das Icon des PDF-Betrachters hat.Wäre dem so, würde ich mir im Editor den Quellcode der Batch anschauen.
Dort würde ich dann vermutlich sehen, dass dort zum einen der Rechnername mit Uhrzeit in eine Textdatei geschrieben wird und im Anschluss eine PDF-Datei (versteckt-Attribut auf dem Stick) geöffnet wird.
Wäre dem so, würde ich den Stick formatieren und anderweitig nutzen.
Also so schaue ich mir immer unbekannte Stick als erstes an - natürlich in einer gesicherten Unix-Umgebung (getrennt vom Netzwerk).
Edit: Ja, ein sehr banales Szenario, aber wie viele User würden dies erkennen?
Gruß
em-pie
Zitat von @Inf1d3l:
Deine Mitarbeiter dürfen nicht explizit freigegebene USB-Sticks an Rechner anschließen?
Deine Mitarbeiter dürfen nicht explizit freigegebene USB-Sticks an Rechner anschließen?
Ja leider ist so gewünscht. Um dieses zu ändern möchte ich unsere GF zeigen wie einfach es ist eine Virus darüber ins NW zu bekommen.
Moin,
ich stelle mir die Frage, wieso bei euch die USB-Ports für USB-Sticks geöffnet sind. Muss wirklich jeder Mitarbeiter permanent Daten auf oder von USB-Sticks kopieren?
Ansonsten. Schreibe ein kurzes Auto-Start Skript, was den Rechnernamen und eingeloggten User per Mail an dich übermittelt oder in eine Datei schreibt. Wie die Datei genau heißt spielt keine Rolle. Versteck diese für andere Benutzer und der User sieht sogar nur einen leeren USB Stick.
Noch besser: Lege eine defekte PDF-Datei dort ab indem du einfach ein Bild als pdf abspeicherst. Dann gibt es eine Fehlermeldung im PDF-Reader und du wirst zusehen können, wie der Stick von einem Rechner zum nächsten wandert, ganz nach dem Motto: Bei mir geht's nicht, schau du mal.
Noch ein Tipp: Schreib auf den Stick und die Datei "Diplomarbeit" oder "Bachelorarbeit" oder "Abschlussarbeit". Dann steigt die Chance. Bei Gehaltslisten haben einige (hoffentlich viele) noch Skrupel sie zu öffnen und öffnen die Datei nicht. Bei einer Abschlussarbeit weckst du aber die Hilfsbereitschaft der Menschen, wodurch die Chance steigt, dass sie den Stick einstecken und auf die Datei klicken
Im Regelfall wird die Malware beim Einstecken schon ausgeführt. Der Doppelklick auf die Datei ist dann schon der doppelte Boden
Gruß
Doskias
ich stelle mir die Frage, wieso bei euch die USB-Ports für USB-Sticks geöffnet sind. Muss wirklich jeder Mitarbeiter permanent Daten auf oder von USB-Sticks kopieren?
Ansonsten. Schreibe ein kurzes Auto-Start Skript, was den Rechnernamen und eingeloggten User per Mail an dich übermittelt oder in eine Datei schreibt. Wie die Datei genau heißt spielt keine Rolle. Versteck diese für andere Benutzer und der User sieht sogar nur einen leeren USB Stick.
Noch besser: Lege eine defekte PDF-Datei dort ab indem du einfach ein Bild als pdf abspeicherst. Dann gibt es eine Fehlermeldung im PDF-Reader und du wirst zusehen können, wie der Stick von einem Rechner zum nächsten wandert, ganz nach dem Motto: Bei mir geht's nicht, schau du mal.
Noch ein Tipp: Schreib auf den Stick und die Datei "Diplomarbeit" oder "Bachelorarbeit" oder "Abschlussarbeit". Dann steigt die Chance. Bei Gehaltslisten haben einige (hoffentlich viele) noch Skrupel sie zu öffnen und öffnen die Datei nicht. Bei einer Abschlussarbeit weckst du aber die Hilfsbereitschaft der Menschen, wodurch die Chance steigt, dass sie den Stick einstecken und auf die Datei klicken
Im Regelfall wird die Malware beim Einstecken schon ausgeführt. Der Doppelklick auf die Datei ist dann schon der doppelte Boden
Gruß
Doskias
Zitat von @em-pie:
also für den Fall, dass ihr die Dateierweiterungen ausgeblendet habt:
Würde ich als ITler den Stick finden, würde ich prüfen, wie die tatsächliche Dateiendung lautet. Die Datei könnte ja nach
also für den Fall, dass ihr die Dateierweiterungen ausgeblendet habt:
Würde ich als ITler den Stick finden, würde ich prüfen, wie die tatsächliche Dateiendung lautet. Die Datei könnte ja nach
Gehaelter.pdf aussehen, tatsächlich es es aber eine Gehaelter.pdf.cmd, die jedoch das Icon des PDF-Betrachters hat.Tipp hierzu: Via GPO das Anzeigen von Dateiendungen erzwingen. Unsere Mitarbeiter werden bei doppelten Dateiendungen misstrauisch.
Zitat von @Doskias:
Moin,
ich stelle mir die Frage, wieso bei euch die USB-Ports für USB-Sticks geöffnet sind. Muss wirklich jeder Mitarbeiter permanent Daten auf oder von USB-Sticks kopieren?
Ansonsten. Schreibe ein kurzes Auto-Start Skript, was den Rechnernamen und eingeloggten User per Mail an dich übermittelt oder in eine Datei schreibt. Wie die Datei genau heißt spielt keine Rolle. Versteck diese für andere Benutzer und der User sieht sogar nur einen leeren USB Stick.
Noch besser: Lege eine defekte PDF-Datei dort ab indem du einfach ein Bild als pdf abspeicherst. Dann gibt es eine Fehlermeldung im PDF-Reader und du wirst zusehen können, wie der Stick von einem Rechner zum nächsten wandert, ganz nach dem Motto: Bei mir geht's nicht, schau du mal.
Noch ein Tipp: Schreib auf den Stick und die Datei "Diplomarbeit" oder "Bachelorarbeit" oder "Abschlussarbeit". Dann steigt die Chance. Bei Gehaltslisten haben einige (hoffentlich viele) noch Skrupel sie zu öffnen und öffnen die Datei nicht. Bei einer Abschlussarbeit weckst du aber die Hilfsbereitschaft der Menschen, wodurch die Chance steigt, dass sie den Stick einstecken und auf die Datei klicken
Im Regelfall wird die Malware beim Einstecken schon ausgeführt. Der Doppelklick auf die Datei ist dann schon der doppelte Boden
Gruß
Doskias
Moin,
ich stelle mir die Frage, wieso bei euch die USB-Ports für USB-Sticks geöffnet sind. Muss wirklich jeder Mitarbeiter permanent Daten auf oder von USB-Sticks kopieren?
Ansonsten. Schreibe ein kurzes Auto-Start Skript, was den Rechnernamen und eingeloggten User per Mail an dich übermittelt oder in eine Datei schreibt. Wie die Datei genau heißt spielt keine Rolle. Versteck diese für andere Benutzer und der User sieht sogar nur einen leeren USB Stick.
Noch besser: Lege eine defekte PDF-Datei dort ab indem du einfach ein Bild als pdf abspeicherst. Dann gibt es eine Fehlermeldung im PDF-Reader und du wirst zusehen können, wie der Stick von einem Rechner zum nächsten wandert, ganz nach dem Motto: Bei mir geht's nicht, schau du mal.
Noch ein Tipp: Schreib auf den Stick und die Datei "Diplomarbeit" oder "Bachelorarbeit" oder "Abschlussarbeit". Dann steigt die Chance. Bei Gehaltslisten haben einige (hoffentlich viele) noch Skrupel sie zu öffnen und öffnen die Datei nicht. Bei einer Abschlussarbeit weckst du aber die Hilfsbereitschaft der Menschen, wodurch die Chance steigt, dass sie den Stick einstecken und auf die Datei klicken
Im Regelfall wird die Malware beim Einstecken schon ausgeführt. Der Doppelklick auf die Datei ist dann schon der doppelte Boden
Gruß
Doskias
Die Idee ist gut, nur ist Autostart im NW ausgeschaltet.
Was müsste in dem Script stehen das ich die Informationen bekomme?
Zitat von @Doskias:
Tipp hierzu: Via GPO das Anzeigen von Dateiendungen erzwingen. Unsere Mitarbeiter werden bei doppelten Dateiendungen misstrauisch.
Zitat von @em-pie:
also für den Fall, dass ihr die Dateierweiterungen ausgeblendet habt:
Würde ich als ITler den Stick finden, würde ich prüfen, wie die tatsächliche Dateiendung lautet. Die Datei könnte ja nach
also für den Fall, dass ihr die Dateierweiterungen ausgeblendet habt:
Würde ich als ITler den Stick finden, würde ich prüfen, wie die tatsächliche Dateiendung lautet. Die Datei könnte ja nach
Gehaelter.pdf aussehen, tatsächlich es es aber eine Gehaelter.pdf.cmd, die jedoch das Icon des PDF-Betrachters hat.Tipp hierzu: Via GPO das Anzeigen von Dateiendungen erzwingen. Unsere Mitarbeiter werden bei doppelten Dateiendungen misstrauisch.
Die Dateiendungen sind bei uns Standartmäßig ausgeschaltet.
Da wir nur 2 IT-ler sind und der Rest nicht gerade die gebildetsten User gehe ich davon aus das keiner nach der Endung schauen wird. Wer doch hat der MA seine Job richtig gemacht.
kommt drauf an was du alles an Infos ermitteln willst. Im Prinzip brauchst du nur hostname und whoami und schreibst das in eine Datei. Fertig
Dann anstellen. Die User sind schon irritiert wenn sie auf einmal doppelte Dateiendungen sehen.
Hallo,
Das ganze ist ne zweischneidige Sache. Wir hatten neulich mal über Azure eine Phishing-Email-Simulation laufen. zunächst hat keiner unserer Mitarbeiter draufgeklickt (Sensibilisierte Mitarbeiter ). Dann dachten sich aber die 2 sensibilisiertesten, dass das ja bestimmt ne Simulation ist - und wollten mal sehen, was passiert.
Soll heißen. Wenn Du sowas machst, musst Du ggf. hinterher für alle ganz deutlich klarstellen, dass das eine Simulation war und das es das nächste mal keine sein wird. Sonst hast Du das Risiko einer Kompromittierung durch Deine Aktion erhöht. (In deinem Fall würde ich also die angedachte Schulung von vornherein fest einplanen).
Wenn es zur Auswertung mit der GF gedacht ist, wäre es ggf zusätzlich sinnvoll, mal über 1 Woche oder so, alle gesteckten Sticks (mit Hersteller, Seriennummer) zu loggen und zu analysieren, wie viele (unterschiedliche) im Umlauf sind. Mich würden viele verschiedene Sticks, von denen keiner von der Firma ausgegeben wurde, mehr beunruhigen, als eine erfolgreiche Penetration in der Simulation.
Grüße
lcer
Das ganze ist ne zweischneidige Sache. Wir hatten neulich mal über Azure eine Phishing-Email-Simulation laufen. zunächst hat keiner unserer Mitarbeiter draufgeklickt (Sensibilisierte Mitarbeiter
). Dann dachten sich aber die 2 sensibilisiertesten, dass das ja bestimmt ne Simulation ist - und wollten mal sehen, was passiert.Soll heißen. Wenn Du sowas machst, musst Du ggf. hinterher für alle ganz deutlich klarstellen, dass das eine Simulation war und das es das nächste mal keine sein wird. Sonst hast Du das Risiko einer Kompromittierung durch Deine Aktion erhöht. (In deinem Fall würde ich also die angedachte Schulung von vornherein fest einplanen).
Wenn es zur Auswertung mit der GF gedacht ist, wäre es ggf zusätzlich sinnvoll, mal über 1 Woche oder so, alle gesteckten Sticks (mit Hersteller, Seriennummer) zu loggen und zu analysieren, wie viele (unterschiedliche) im Umlauf sind. Mich würden viele verschiedene Sticks, von denen keiner von der Firma ausgegeben wurde, mehr beunruhigen, als eine erfolgreiche Penetration in der Simulation.
Grüße
lcer
Zitat von @Doskias:
Dann anstellen. Die User sind schon irritiert wenn sie auf einmal doppelte Dateiendungen sehen.
Da würde ich mich nicht drauf verlassen.Dann anstellen. Die User sind schon irritiert wenn sie auf einmal doppelte Dateiendungen sehen.
Es gibt bei uns Kollegen (habe es aufgegeben...), die versuchen aus dem "Datei öffnen"-Dialog in Word eine Excel-Datei und öffnen und wundern sich, warum die die Datei nicht finden....
Da bezweifle ich mal, dass die den Unterschied zwischen
myExcel.xlsx.cmd und myExcel.xlsx kennen.Von *.xls rede ich mal nicht (wobei eine AV-Software hier mit hoher Wahrscheinlichkeit greifen dürfte)
Aber die Erweiterung würde ich dennoch forciert einblenden. Selbst, wenn das nur 25% der Leute erkennen (und entsprechend handeln), ist die Gefahr schon um 25% reduziert
Zitat von @Doskias:
kommt drauf an was du alles an Infos ermitteln willst. Im Prinzip brauchst du nur hostname und whoami und schreibst das in eine Datei. Fertig
Dann anstellen. Die User sind schon irritiert wenn sie auf einmal doppelte Dateiendungen sehen.
kommt drauf an was du alles an Infos ermitteln willst. Im Prinzip brauchst du nur hostname und whoami und schreibst das in eine Datei. Fertig
Dann anstellen. Die User sind schon irritiert wenn sie auf einmal doppelte Dateiendungen sehen.
Die Idee ist schon mal gut mit den Dateiendungen. Kann ich gleich mit in die Schulung nehmen.
Als Script also ca. so:
(
hostname
whoami
)> Ausgabe.txt
wie kann ich da einen NW-Pfad mit einbringen?
Und der Dateiname soll ein Datum und die Uhrzeit beinhalten.
Zitat von @lcer00:
Hallo,
Das ganze ist ne zweischneidige Sache. Wir hatten neulich mal über Azure eine Phishing-Email-Simulation laufen. zunächst hat keiner unserer Mitarbeiter draufgeklickt (Sensibilisierte Mitarbeiter ). Dann dachten sich aber die 2 sensibilisiertesten, dass das ja bestimmt ne Simulation ist - und wollten mal sehen, was passiert.
Soll heißen. Wenn Du sowas machst, musst Du ggf. hinterher für alle ganz deutlich klarstellen, dass das eine Simulation war und das es das nächste mal keine sein wird. Sonst hast Du das Risiko einer Kompromittierung durch Deine Aktion erhöht. (In deinem Fall würde ich also die angedachte Schulung von vornherein fest einplanen).
Wenn es zur Auswertung mit der GF gedacht ist, wäre es ggf zusätzlich sinnvoll, mal über 1 Woche oder so, alle gesteckten Sticks (mit Hersteller, Seriennummer) zu loggen und zu analysieren, wie viele (unterschiedliche) im Umlauf sind. Mich würden viele verschiedene Sticks, von denen keiner von der Firma ausgegeben wurde, mehr beunruhigen, als eine erfolgreiche Penetration in der Simulation.
Grüße
lcer
Hallo,
Das ganze ist ne zweischneidige Sache. Wir hatten neulich mal über Azure eine Phishing-Email-Simulation laufen. zunächst hat keiner unserer Mitarbeiter draufgeklickt (Sensibilisierte Mitarbeiter
). Dann dachten sich aber die 2 sensibilisiertesten, dass das ja bestimmt ne Simulation ist - und wollten mal sehen, was passiert.Soll heißen. Wenn Du sowas machst, musst Du ggf. hinterher für alle ganz deutlich klarstellen, dass das eine Simulation war und das es das nächste mal keine sein wird. Sonst hast Du das Risiko einer Kompromittierung durch Deine Aktion erhöht. (In deinem Fall würde ich also die angedachte Schulung von vornherein fest einplanen).
Wenn es zur Auswertung mit der GF gedacht ist, wäre es ggf zusätzlich sinnvoll, mal über 1 Woche oder so, alle gesteckten Sticks (mit Hersteller, Seriennummer) zu loggen und zu analysieren, wie viele (unterschiedliche) im Umlauf sind. Mich würden viele verschiedene Sticks, von denen keiner von der Firma ausgegeben wurde, mehr beunruhigen, als eine erfolgreiche Penetration in der Simulation.
Grüße
lcer
Schulungen sind 2 mal jährlich geplant. Bei der Nächsten löse ich meine Absichten natürlich auch auf.
Sinn der Sache soll sein das ich Sticks generell verbiete und eine Datenschleuse in der IT einrichte mit Protokoll.
Davon möchte ich mit meinem Test die GF überzeugen.
Hallo,
Die GF muss aber auch entscheiden, ob dafür Ressoucen bereitgestellt werden sollen. Dazu muss sie wissen, wie häufig das vor kommt. Es macht einen Unterschied, ob das 1x pro Woche um eine Datei geht, oder es täglich bei 20% der Mitarbeiter vorkommt.
Windows-Bordmittel - siehe: https://www.techrepublic.com/article/how-to-track-down-usb-flash-drive-u ...
Die Events könnte man schön elegant an einen zentralen Eventlog-Server weiterleiten. https://docs.microsoft.com/de-de/windows/win32/wec/windows-event-collect ...
Ansonsten können das auch etliche Antivirenprogramme mitloggen.
Grüße
lcer
Zitat von @Morpheussuhl:
Sinn der Sache soll sein das ich Sticks generell verbiete und eine Datenschleuse in der IT einrichte mit Protokoll.
Davon möchte ich mit meinem Test die GF überzeugen.
Sinn der Sache soll sein das ich Sticks generell verbiete und eine Datenschleuse in der IT einrichte mit Protokoll.
Davon möchte ich mit meinem Test die GF überzeugen.
Die GF muss aber auch entscheiden, ob dafür Ressoucen bereitgestellt werden sollen. Dazu muss sie wissen, wie häufig das vor kommt. Es macht einen Unterschied, ob das 1x pro Woche um eine Datei geht, oder es täglich bei 20% der Mitarbeiter vorkommt.
Windows-Bordmittel - siehe: https://www.techrepublic.com/article/how-to-track-down-usb-flash-drive-u ...
Die Events könnte man schön elegant an einen zentralen Eventlog-Server weiterleiten. https://docs.microsoft.com/de-de/windows/win32/wec/windows-event-collect ...
Ansonsten können das auch etliche Antivirenprogramme mitloggen.
Grüße
lcer
ich bin bei uns in der Firma der IT-Sicherheitsbeauftragte.
okNun habe ich zur Sensibilisierung folgendes vor:
Wenn du der Sicherheitsbeauftrage für die IT bist, dann würde ich als 1. die USB Ports für unbefugten Zugriff sperren!Gibt es eine Möglichkeit das zu verwirklichen (Vlt. gibt es ja sowas schon fertig) oder hat jemand eine andere Idee?
Das sollte der IT-Sicherheitsbeauftragte doch wissenKeine sorge mit unsere Geschäftsführung, Datenschutz, Betriebsrat ist alles abgeklärt.
Die MA sollen auch nicht öffentlich an den Pranger gestellt werden, die Daten wer zugegriffen hat sollen nur für mich und die Führung sein.
Ich möchte die MA dann in einer Schulung aufklären und somit sensibilisieren.
Wird nichts bringen....dies haben schon mehrere Tests und Studien gezeigt.Die MA sollen auch nicht öffentlich an den Pranger gestellt werden, die Daten wer zugegriffen hat sollen nur für mich und die Führung sein.
Ich möchte die MA dann in einer Schulung aufklären und somit sensibilisieren.
Aber die Erfahrung werdet ihr auch sammeln.
Zitat von @tech-flare:
Wenn du der Sicherheitsbeauftrage für die IT bist, dann würde ich als 1. die USB Ports für unbefugten Zugriff sperren!
Wenn du der Sicherheitsbeauftrage für die IT bist, dann würde ich als 1. die USB Ports für unbefugten Zugriff sperren!
Hat er ja oben schon geschrieben, dass der Chef das nicht will und er damit dem Chef die Gefahr zeigen will.
Es dauert etwas bis die Leute sensibilisiert sind. Aber auf Dauer wirkt es. Meine User sind soweit sensibilisiert, dass sie mich bei doppelten Dateiendungen sofort anrufen, selbst wenn es Datei.docx.docx ist. Und das ist gut so.
Es gibt bei uns Kollegen (habe es aufgegeben...), die versuchen aus dem "Datei öffnen"-Dialog in Word eine Excel-Datei und öffnen und wundern sich, warum die die Datei nicht finden....
Da bezweifle ich mal, dass die den Unterschied zwischen
Von *.xls rede ich mal nicht (wobei eine AV-Software hier mit hoher Wahrscheinlichkeit greifen dürfte)
Stimmt. Auf dem Weg sieht man es nicht sofort. Aber bei einem unbekannten USB-Stick schau ich schon vorher drauf und würde dann ja erst das Programm wählen.Da bezweifle ich mal, dass die den Unterschied zwischen
myExcel.xlsx.cmd und myExcel.xlsx kennen.Von *.xls rede ich mal nicht (wobei eine AV-Software hier mit hoher Wahrscheinlichkeit greifen dürfte)
Aber die Erweiterung würde ich dennoch forciert einblenden. Selbst, wenn das nur 25% der Leute erkennen (und entsprechend handeln), ist die Gefahr schon um 25% reduziert.
Auf Dauer wird die Zahl dann steigen, würde ich vermute. Und selbst wenn nicht hast du Recht. 25% weniger Gefahr ist und bleibt 25% weniger GefahrZitat von @Morpheussuhl:
Als Script also ca. so:
(
hostname
whoami
)> Ausgabe.txt
wie kann ich da einen NW-Pfad mit einbringen?
Und der Dateiname soll ein Datum und die Uhrzeit beinhalten.
Als Script also ca. so:
(
hostname
whoami
)> Ausgabe.txt
wie kann ich da einen NW-Pfad mit einbringen?
Und der Dateiname soll ein Datum und die Uhrzeit beinhalten.
Datum und Uhrzeit erhälst du mit %time% und %date%.
Schreiben in Netzwerk zum Beispiel via:
echo %date% >> \\Pfad\Datei.txtGanzen Code würde ich persönlich so machen:
echo %date% >> \\Server\Protokoll.txt
echo %time% >> \\Server\Protokoll.txt
echo %username% >> \\Server\Protokoll.txt
echo %COMPUTERNAME% >> \\Server\Protokoll.txt
echo ----- >> \\Server\Protokoll.txtDann hast du eine Datei in chronologischer Reihenfolge und nicht 40 Dateien am Ende.
Gruß
Doskias
Von der Aktion selbst halte ich nichts, weil es nicht sinnvoll ist, einen Brand zu legen, um auf eine Brandgefahr hinzuweisen.
Entweder kann man davon ausgehen, dass die Mitarbeiter mit "offenen USB-Ports" entsprechend achtsam umgehen - oder man sperrt die Ports, wenn man dazu die technischen Möglichkeiten hat (per Software oder mechanisch).
Und wenn, dann würde ich keine PDF benutzen. Denn die erfordert, dass man Sicherheitslücken ausnutzt oder entsprechend Server (meist Command&Control-Server) installieren muss, die von sich aus schon wieder Sicherheitslücken sind.
Ich würde statt dessen zu "Rubber Duckys" greifen. Das sind USB-Sticks, die wie Speichersticks aussehen können, aber als Keyboard programmiert sind. Damit lassen sich sogar Software-Portsperren (Endpoint Management) umgehen, weil die meist Speichersticks, aber keine extra Keyboards blockieren.
Jedenfalls tippt dann der Rubber Ducky automatisiert die passenden Tasten für den User. Das kann so schnell gehen, dass der User das nicht merkt bzw. es zu spät ist, um zu reagieren.
Ich würde einfach unter Windows Notepad oder Word starten und dort automatisiert einen großen Text ausgeben (bzw. eingeben) lassen. Nach dem Motto: Wenn Du das hier lesen kannst, dann solltest Du beim nächsten Mal zweimal drüber nachdenken, irgendeinen gefunden USB-Stick an Deinen Rechner anzuschliessen. Danach noch Outlook starten, "Neue Mail" auswählen, ins Empfängerfeld die Mailadresse der Geschäftsführung und als Betreff nur "Ich kündige, weil ich so blöde war...." eingeben. Aber natürlich nicht absenden, sondern das Fenster geöffnet lassen.
Sowas wirkt nach.
Entweder kann man davon ausgehen, dass die Mitarbeiter mit "offenen USB-Ports" entsprechend achtsam umgehen - oder man sperrt die Ports, wenn man dazu die technischen Möglichkeiten hat (per Software oder mechanisch).
Und wenn, dann würde ich keine PDF benutzen. Denn die erfordert, dass man Sicherheitslücken ausnutzt oder entsprechend Server (meist Command&Control-Server) installieren muss, die von sich aus schon wieder Sicherheitslücken sind.
Ich würde statt dessen zu "Rubber Duckys" greifen. Das sind USB-Sticks, die wie Speichersticks aussehen können, aber als Keyboard programmiert sind. Damit lassen sich sogar Software-Portsperren (Endpoint Management) umgehen, weil die meist Speichersticks, aber keine extra Keyboards blockieren.
Jedenfalls tippt dann der Rubber Ducky automatisiert die passenden Tasten für den User. Das kann so schnell gehen, dass der User das nicht merkt bzw. es zu spät ist, um zu reagieren.
Ich würde einfach unter Windows Notepad oder Word starten und dort automatisiert einen großen Text ausgeben (bzw. eingeben) lassen. Nach dem Motto: Wenn Du das hier lesen kannst, dann solltest Du beim nächsten Mal zweimal drüber nachdenken, irgendeinen gefunden USB-Stick an Deinen Rechner anzuschliessen. Danach noch Outlook starten, "Neue Mail" auswählen, ins Empfängerfeld die Mailadresse der Geschäftsführung und als Betreff nur "Ich kündige, weil ich so blöde war...." eingeben. Aber natürlich nicht absenden, sondern das Fenster geöffnet lassen.
Sowas wirkt nach.
Zwei Ideen:
- Canary Token: Die bieten eine Warnnung, falls eine bestimmte Datei geöffnet wird
- Word/Excel ohne VBA: Ein Bild einbinden, dass vom eigenen Server geladen wird. Das Log zeigt die Zugriffe.
- Canary Token: Die bieten eine Warnnung, falls eine bestimmte Datei geöffnet wird
- Word/Excel ohne VBA: Ein Bild einbinden, dass vom eigenen Server geladen wird. Das Log zeigt die Zugriffe.
@Doskias
stimmt natürlich, je häufiger man schult, desto höher der Grad der Sensibilisierung
ICH würde beim Script aber eine CSV-basierte Schreibweise vorziehen. Warum? die kann man recht zügig mit Excel auswerten
Ggf. noch pro Stick eine zusätzliche "Spalte" ergänzen, die einen individuellen Wert enthält (z.B. Stick 4711 oder Bonbon 0815). Dann sieht man auch, ob Sticks gewandert sind
stimmt natürlich, je häufiger man schult, desto höher der Grad der Sensibilisierung
ICH würde beim Script aber eine CSV-basierte Schreibweise vorziehen. Warum? die kann man recht zügig mit Excel auswerten
set incident=%date% %time%;%computername%;%username%
echo %incident%>>\\myserver\myShare\incident_log.csvGgf. noch pro Stick eine zusätzliche "Spalte" ergänzen, die einen individuellen Wert enthält (z.B. Stick 4711 oder Bonbon 0815). Dann sieht man auch, ob Sticks gewandert sind
Vielen Dank für die schnelle Hilfe.
MfG
MfG
Sprech das lieber mal mit dem Betriebsrat ab.
Hat er doch, undzwar sogar im ersten Post geschrieben:
Keine sorge mit unsere Geschäftsführung, Datenschutz, Betriebsrat ist alles abgeklärt.
möchte ich unsere GF zeigen wie einfach es ist eine Virus darüber ins NW zu bekommen.
Stehen die kurz vor der Pensionierung ?? Solche simplen Banalitäten lernt Fritzchen der Azubi im ersten Lehrjahr bzw. hat es auch schon in der Schule mitbekommen.Wem muss man heute solche Binsenweisheiten extra noch erklären zumal in der GSL ja vornehmlich auch Akademiker sitzen...aber egal !
