Een phishing-aanval simuleren in Defender voor Office 365

  • Artikel
  • 6 minuten om te lezen

Van toepassing op Microsoft Defender voor Office 365 abonnement 2

Met training voor aanvalssimulatie in Microsoft Defender Office 365 plan 2 of Microsoft 365 E5 kunt u goedaardige cyberaanvallensimulaties uitvoeren in uw organisatie. Deze simulaties testen uw beveiligingsbeleid en -procedures en trainen uw werknemers om hun bekendheid te vergroten en hun gevoeligheid voor aanvallen te verminderen. In dit artikel wordt u beschreven hoe u een gesimuleerde phishing-aanval kunt maken met behulp van training voor de aanvalssimulatie.

Zie Aan de slag met de trainingstraining Aanvalssimulatievoor informatie over training voor aanvalssimulatie.

Als u een gesimuleerde phishing-aanval wilt starten, gaat u als volgt te werk:

  1. Ga in Microsoft 365 Defender portal bij naar Het tabblad https://security.microsoft.com &-samenwerkingstraining > > Aanvalssimulaties.

    Als u rechtstreeks naar het tabblad Simulaties wilt gaan, gebruikt u https://security.microsoft.com/attacksimulator?viewid=simulations .

  2. Selecteer op het tabblad Simulaties de optie Een simulatiepictogram starten. Start een simulatie.

    Start een simulatieknop op het tabblad Simulaties in De training voor de aanvalssimulatie in de Microsoft 365 Defender portal.

  3. De wizard voor het maken van een simulatie wordt geopend. In de rest van dit artikel worden de pagina's en de instellingen beschreven die ze bevatten.

Notitie

Op elk moment tijdens de wizard voor het maken van de simulatie kunt u op Opslaan en sluiten klikken om uw voortgang op te slaan en de simulatie later verder te configureren. De onvolledige simulatie heeft de statuswaarde Concept op het tabblad Simulaties. U kunt de plek waar u gebleven was, ophalen door de simulatie te selecteren en te klikken op Het pictogram Van de simulatie bewerken. Bewerk de simulatie.

Een social engineering-techniek selecteren

Selecteer op de pagina Techniek selecteren een beschikbare social engineering-techniek, die is samengesteld uit het MITRE ATT-&CK® framework. Er zijn verschillende payloads beschikbaar voor verschillende technieken. De volgende technieken voor sociale techniek zijn beschikbaar:

  • Referentieoogst: probeert referenties te verzamelen door gebruikers naar een bekende website te nemen met invoervakken om een gebruikersnaam en wachtwoord in te dienen.
  • Malwarebijlage: Voegt een schadelijke bijlage toe aan een bericht. Wanneer de gebruiker de bijlage opent, wordt willekeurige code uitgevoerd die de aanvaller helpt het apparaat van het doel te compromitteerden.
  • Koppeling in bijlage: een type referentieoogst hybride. Een aanvaller voegt een URL in een e-mailbijlage in. De URL in de bijlage volgt dezelfde techniek als de oogst van referenties.
  • Koppeling naar malware: er wordt willekeurige code uitgevoerd van een bestand dat wordt gehost op een bekende service voor het delen van bestanden. Het bericht dat naar de gebruiker wordt verzonden, bevat een koppeling naar dit schadelijke bestand. Het bestand openen en de aanvaller helpen het apparaat van het doel te compromitteerden.
  • Drive-by-URL: De kwaadaardige URL in het bericht brengt de gebruiker naar een vertrouwde website die in stilte codecode op het apparaat van de gebruiker wordt uitgevoerd en/of installeert.

Als u op de koppeling Details weergeven in de beschrijving klikt, wordt er een details flyout geopend waarin de techniek en de simulatiestappen worden beschreven die het resultaat zijn van de techniek.

Details flyout for the credential harvest technique on the Select technique page.

Wanneer u gereed bent, klikt u op Volgende.

De simulatie een naam geven en beschrijven

Configureer op de pagina Naamsimulatie de volgende instellingen:

  • Naam: Voer een unieke, beschrijvende naam in voor de simulatie.
  • Beschrijving: Voer een optionele gedetailleerde beschrijving in voor de simulatie.

Wanneer u gereed bent, klikt u op Volgende.

Een laadvermogen selecteren

Op de pagina Laadvermogen selecteren moet u een bestaande payload selecteren in de lijst of een nieuwe payload maken.

De volgende details worden weergegeven in de lijst met payloads om u te helpen kiezen:

  • Naam
  • Taal: De taal van de inhoud van de payload. De payloadcatalogus van Microsoft (globaal) biedt payloads in meer dan 10 talen, die ook kunnen worden gefilterd.
  • Klikfrequentie: hoeveel personen hebben op deze payload geklikt.
  • Voorspelde compromissnelheid: Historische gegevens voor de payload in Microsoft 365 die het percentage mensen voorspellen dat wordt gecompromitteerd door deze payload.
  • Met gestarte simulaties wordt het aantal keren geteld dat deze payload is gebruikt in andere simulaties.

In het pictogram Zoeken. Zoekvak, u kunt een deel van de naam van de payload typen en op Enter drukken om de resultaten te filteren.

Als u op Filter klikt, zijn de volgende filters beschikbaar:

  • Complexiteit: berekend op basis van het aantal indicatoren in de payload dat een mogelijke aanval aangeeft (spelfouten, urgentie, enzovoort). Meer indicatoren zijn gemakkelijker te identificeren als een aanval en geven een lagere complexiteit aan. De beschikbare waarden zijn:
    • Laag
    • Gemiddeld
    • Hoog
  • Bron: geeft aan of de payload is gemaakt in uw organisatie of deel uitmaakt van de bestaande payloadcatalogus van Microsoft. Geldige waarden zijn:
    • Globaal (ingebouwd)
    • Tenant (aangepast)
    • Alles
  • Taal: De beschikbare waarden zijn: Chinees (vereenvoudigd), Chinees (traditioneel), Engels , Frans , Duits , Italiaans , Japans , Koreaans , Portugees , Russisch , Spaans en Nederlands.
  • Tag(s) toevoegen
  • Filteren op thema: De beschikbare waarden zijn: Accountactivering, Accountverificatie , Facturering , E-mail ops schonen , Ontvangen document, Onkosten , Fax , Financieel rapport , Binnenkomende berichten , Factuur, Ontvangen items , Aanmeldingsmelding , Ontvangen e-mail , Wachtwoord, Betaling, Salaris, Persoonlijke aanbieding, Quarantaine, Extern werk, Bericht controleren, Beveiligingsupdate, Service opgeschort, Handtekening vereist, Postvakopslag bijwerken Postvak verifiëren , Voicemail en Overige.
  • Filteren op merk: De beschikbare waarden zijn: American Express, Capital One, DHL, DocuSign, Dropbox, Facebook, First American, Microsoft , Netflix, Scotiabank, SendGrid, Stewart Title, Tesco, Wells Fargo, Syrinx Cloud en Other.
  • Filteren op industrie: De beschikbare waarden zijn: Banking, Business Services, Consumer Services, Education , Energy, Construction, Consulting, Financial services, Government, Hospitality, Insurance, Legal, Courier services, IT, Healthcare, Manufacturing, Retail, Telecom, Real estate, en Overige.
  • Huidige gebeurtenis: De beschikbare waarden zijn Ja of Nee.
  • Omstreden: De beschikbare waarden zijn Ja of Nee.

Wanneer u klaar bent met het configureren van de filters, klikt u op Toepassen, Annuleren of Filters wissen.

Selecteer de payloadpagina in De training voor de aanvalssimulatie in Microsoft 365 Defender portal.

Als u een payload selecteert in de lijst, worden details over de payload weergegeven in een flyout:

  • Het tabblad Overzicht bevat een voorbeeld en andere details over de payload.
  • Het tabblad Gestarte simulaties bevat de naam Van de simulatie, Klikfrequentie, Gecompromitteerd tarief en Actie.

Payload details flyout in Attack simulation training in the Microsoft 365 Defender portal.

Als u een laadvermogen selecteert in de lijst door op de naam te klikken, wordt het pictogram Een testlading verzenden weergegeven. Een testknop verzenden wordt weergegeven op de hoofdpagina waar u een kopie van de payload-e-mail naar uzelf kunt verzenden (de momenteel aangemelde gebruiker) voor controle.

Als u uw eigen laadvermogen wilt maken, klikt u op Een payloadpictogram maken. Maak een laadvermogen. Zie Aangepaste payloads maken voor de trainingstraining aanvalssimulatie voor meer informatie.

Wanneer u gereed bent, klikt u op Volgende.

Doelgebruikers

Selecteer op de pagina Doelgebruikers wie de simulatie ontvangt. Configureer een van de volgende instellingen:

  • Alle gebruikers in uw organisatie opnemen: de betreffende gebruikers worden in lijsten van 10 vermeld. U kunt de knoppen Volgende en Vorige rechtstreeks onder de lijst met gebruikers gebruiken om door de lijst te bladeren. U kunt ook het pictogram Zoeken gebruiken. Zoekpictogram op de pagina om getroffen gebruikers te zoeken.

  • Alleen specifieke gebruikers en groepen opnemen: Kies een van de volgende opties:

    • Pictogram Gebruikers toevoegen. Gebruikers toevoegen: in de flyout Gebruikers toevoegen die wordt weergegeven, kunt u gebruikers en groepen vinden op basis van de volgende criteria:

      • Gebruikers of groepen: In het pictogram Gebruikers en groepen zoeken. Zoek naar het vak Gebruikers en groepen, u kunt een deel van het naam- of e-mailadres van de gebruiker of groep typen en vervolgens op Enter drukken. U kunt enkele of alle resultaten selecteren. Wanneer u klaar bent, klikt u op X-gebruikers toevoegen.

        Notitie

        Als u op de knop Filters toevoegen klikt om terug te keren naar de opties Voor gebruikers filteren op categorieën, worden alle gebruikers of groepen geweken die u hebt geselecteerd in de zoekresultaten.

      • Gebruikers filteren op categorieën: Selecteer uit geen, sommige of alle volgende opties:

        • Voorgestelde gebruikersgroepen: Selecteer een van de volgende waarden:
          • Alle voorgestelde gebruikersgroepen
          • Gebruikers die de afgelopen drie maanden niet zijn getarget op een simulatie
          • Overtreders herhalen
        • Afdeling: Gebruik de volgende opties:
          • Zoeken: In het pictogram Zoeken op afdeling. Zoek op vak Afdeling, u kunt een deel van de afdelingswaarde typen en vervolgens op Enter drukken. U kunt enkele of alle resultaten selecteren.
          • Alle afdeling selecteren
          • Selecteer bestaande afdelingswaarden.
        • Titel: Gebruik de volgende opties:
          • Zoeken: In het pictogram Zoeken op titel. Zoek op titel, u kunt een deel van de waarde Titel typen en vervolgens op Enter drukken. U kunt enkele of alle resultaten selecteren.
          • Alle titel selecteren
          • Selecteer bestaande titelwaarden.

        Gebruikersfilters op de pagina Doelgebruikers in de training voor de aanvalssimulatie in de Microsoft 365 Defender portal.

        Nadat u de criteria hebt vastgesteld, worden de betreffende gebruikers weergegeven in de sectie Gebruikerslijst die wordt weergegeven, waar u enkele of alle gevonden geadresseerden kunt selecteren.

        Wanneer u klaar bent, klikt u op Toepassen(x) en klikt u vervolgens op X-gebruikers toevoegen.

    Terug op de pagina Doelgebruikers kunt u het pictogram Zoeken gebruiken. Zoekvak om getroffen gebruikers te zoeken. U kunt ook op Het pictogram Gebruikers verwijderen klikken. Verwijderen om specifieke gebruikers te verwijderen.

  • Pictogram Importeren. Importeren: Geef in het dialoogvenster dat wordt geopend een CSV-bestand op dat één e-mailadres per regel bevat.

    Nadat u het CSV-bestand hebt geselecteerd, wordt de lijst met gebruikers geïmporteerd en weergegeven op de pagina Doelgebruikers. U kunt het pictogram Zoeken gebruiken. Zoekvak om getroffen gebruikers te zoeken. U kunt ook klikken op Pictogram Doelgebruikers verwijderen. Verwijderen om specifieke gebruikers te verwijderen.

Wanneer u gereed bent, klikt u op Volgende.

Training toewijzen

Op de pagina Training toewijzen kunt u trainingen voor de simulatie toewijzen. Het is raadzaam om training toe te wijzen voor elke simulatie, omdat werknemers die een training volgen, minder gevoelig zijn voor soortgelijke aanvallen. De volgende instellingen zijn beschikbaar:

  • Voorkeur voor trainingsinhoud selecteren: Kies een van de volgende opties:
    • Microsoft-trainingservaring: dit is de standaardwaarde die de volgende bijbehorende opties heeft om te configureren:
      • Selecteer een van de volgende opties:
        • Training voor mij toewijzen: dit is de standaardwaarde en aanbevolen waarde. We wijzen training toe op basis van de eerdere simulatie- en trainingsresultaten van een gebruiker en u kunt de selecties bekijken in de volgende stappen van de wizard.
        • Selecteer zelf cursussen en modules: Als u deze waarde selecteert, kunt u nog steeds de aanbevolen inhoud en alle beschikbare cursussen en modules zien in de volgende stap van de wizard.
      • Einddatum: Kies een van de volgende waarden:
        • 30 dagen na het einde van de simulatie: dit is de standaardwaarde.
        • 15 dagen na het einde van de simulatie
        • 7 dagen na het einde van de simulatie
    • Omleiden naar een aangepaste URL: deze waarde heeft de volgende bijbehorende opties om te configureren:
      • Aangepaste trainings-URL (vereist)
      • Aangepaste trainingsnaam (vereist)
      • Aangepaste trainingsbeschrijving
      • Aangepaste trainingsduur (in minuten): De standaardwaarde is 0, wat betekent dat er geen opgegeven duur voor de training is.
      • Einddatum: Kies een van de volgende waarden:
        • 30 dagen na het einde van de simulatie: dit is de standaardwaarde.
        • 15 dagen na het einde van de simulatie
        • 7 dagen na het einde van de simulatie
    • Geen training: Als u deze waarde selecteert, is de enige optie op de pagina de knop Volgende die u naar de pagina Bestemming brengt.

Voeg aanbevolen training toe op de pagina Trainingstoewijzing in de training voor de aanvalssimulatie in de Microsoft 365 Defender portal.

Trainingstoewijzing

Notitie

De pagina Trainingstoewijzing is alleen beschikbaar als u Microsoft-trainingservaring selecteert Selecteer zelf > trainingscursussen en modules op de vorige pagina.

Selecteer op de pagina Trainingstoewijzing de trainingen die u aan de simulatie wilt toevoegen door op Trainingspictogram toevoegen te klikken. Trainings toevoegen.

In het flyout Training toevoegen dat wordt weergegeven, kunt u de trainingen selecteren die u wilt gebruiken op de volgende tabbladen die beschikbaar zijn:

  • Aanbevolen tabblad: toont de aanbevolen ingebouwde trainingen op basis van de configuratie van de simulatie. Dit zijn dezelfde trainingen die zijn toegewezen als u Training voor mij toewijzen op de vorige pagina hebt geselecteerd.

  • Tabblad Alle trainingen: toont alle ingebouwde trainingen die beschikbaar zijn.

    De volgende informatie wordt weergegeven voor elke training:

    • Trainingsnaam
    • Bron: De waarde is Globaal.
    • Duur (mins)
    • Voorbeeld: Klik op de knop Voorbeeld om de training te bekijken.

    In het pictogram Zoeken. Zoekvak, u kunt een deel van de trainingsnaam typen en op Enter drukken om de resultaten op het huidige tabblad te filteren.

    Selecteer alle trainingen die u wilt opnemen op het huidige tabblad en klik vervolgens op Toevoegen.

Terug op de hoofdpagina Trainingstoewijzing worden de trainingen weergegeven die u hebt geselecteerd. De volgende informatie wordt weergegeven voor elke training:

  • Trainingsnaam
  • Source
  • Duur (mins)

Voor elke training in de lijst moet u selecteren wie de training krijgt door waarden te selecteren in de kolom Toewijzen aan:

  • Alle gebruikers

    of een of beide van de volgende waarden:

  • Op laadvermogen geklikt

  • Gecompromitteerd

Als u geen training wilt gebruiken die wordt weergegeven, klikt u op Trainingspictogram verwijderen. Verwijderen.

Trainingstoewijzingspagina in Trainingsimulatietraining in de Microsoft 365 Defender portal.

Wanneer u gereed bent, klikt u op Volgende.

Landingspagina

Op de pagina Landingspagina configureert u de webpagina waarin de gebruiker wordt geplaatst als deze de payload in de simulatie opent.

  • Voorkeur voor landingspagina selecteren: de beschikbare waarden zijn:

    • Standaard landingspagina van Microsoft gebruiken: dit is de standaardwaarde die de volgende bijbehorende opties heeft om te configureren:

      • Indeling landingspagina selecteren: Selecteer een van de beschikbare sjablonen.
      • Logo toevoegen: Klik op Bladeren om een bestand .png, .jpeg of .gif selecteren.
      • Laadvermogensindicatoren toevoegen aan e-mail: Selecteer deze instelling om gebruikers te helpen bij het identificeren van phishingberichten.

      U kunt een voorbeeld van de resultaten bekijken door te klikken op de knop Voorbeeldvenster openen onder aan de pagina.

    • Een aangepaste URL gebruiken: als u deze waarde selecteert, moet u de URL toevoegen in het vak De aangepaste URL van de landingspagina invoeren die wordt weergegeven. Er zijn geen andere opties beschikbaar op de pagina.

    • Uw eigen landingspagina maken: deze waarde heeft de volgende bijbehorende opties om te configureren:

      • Laadvermogensindicatoren toevoegen aan e-mail: Selecteer deze instelling om gebruikers te helpen bij het identificeren van phishingberichten.
      • Pagina-inhoud: Er zijn twee tabbladen beschikbaar:
        • Tekst: Er is een rich text editor beschikbaar om uw landingspagina te maken. Naast de standaardinstellingen voor lettertypen en opmaak zijn de volgende instellingen beschikbaar:
          • Dynamische tag: Selecteer een van de volgende tags:
            • Gebruikersnaam
            • Naam van e-mail afzender
            • E-mailadres van afzender
            • E-mail onderwerp
            • E-mailinhoud
          • Standaard gebruiken: Selecteer een beschikbare sjabloon om mee te beginnen. U kunt de tekst en indeling in het bewerkingsgebied wijzigen. Als u de landingspagina opnieuw wilt instellen op de standaardtekst en indeling van de sjabloon, klikt u op Opnieuw instellen op standaard.
      • Code: U kunt de HTML-code rechtstreeks weergeven en wijzigen.

      U kunt een voorbeeld van de resultaten bekijken door te klikken op de knop Voorbeeldvenster openen in het midden van de pagina.

Wanneer u gereed bent, klikt u op Volgende.

Notitie

Bepaalde handelsmerken, logo's, symbolen, insignia's en andere bronaanduidingen krijgen een verhoogde bescherming onder lokale, staats- en federale wetten en wetten. Ongeautoriseerd gebruik van dergelijke indicatoren kan de gebruikers aan sancties onderwerpen, waaronder strafrechtelijke boetes. Hoewel dit geen uitgebreide lijst is, zijn dit de zegels presidentiële, vicepresidentiële en congresleden, de CIA, de FBI, sociale zekerheid, Medische hulp en Medische hulp, de United States Internal Revenue Service en de Olympische Spelen. Naast deze categorieën handelsmerken brengt het gebruik en de wijziging van een handelsmerk van derden een inherente hoeveelheid risico met zich mee. Het gebruik van uw eigen handelsmerken en logo's in een laadvermogen is minder riskant, met name wanneer uw organisatie het gebruik toestaat. Als u nog vragen hebt over wat wel of niet geschikt is om te gebruiken bij het maken of configureren van een laadvermogen, moet u contact opnemen met uw juridische adviseurs.

Details starten

Op de pagina Details starten kiest u wanneer u de simulatie wilt starten en wanneer u de simulatie wilt beëindigen. We stoppen met het vastleggen van interactie met deze simulatie na de einddatum die u opgeeft.

De volgende instellingen zijn beschikbaar:

  • Kies een van de volgende waarden:
    • Start deze simulatie zodra ik klaar ben
    • Plan deze simulatie om later te worden gestart: Deze waarde heeft de volgende bijbehorende opties om te configureren:
      • Startdatum selecteren
      • Starttijd selecteren
  • Aantal dagen configureren om de simulatie te beëindigen na: De standaardwaarde is 2.
  • Regiobewuste tijdzonebezorging inschakelen: bezorg gesimuleerde aanvalsberichten aan uw werknemers tijdens hun werkuren op basis van hun regio.

Wanneer u gereed bent, klikt u op Volgende.

Controlesimulatie

Op de pagina Controlesimulatie kunt u de details van uw simulatie bekijken.

Klik op het pictogram Een test verzenden. Stuur een testknop om een kopie van de payload-e-mail naar uzelf (de momenteel aangemelde gebruiker) te verzenden voor controle.

U kunt in elke sectie Bewerken selecteren om de instellingen in de sectie te wijzigen. U kunt ook op Terug klikken of de specifieke pagina in de wizard selecteren.

Wanneer u gereed bent, klikt u op Verzenden.

Bekijk de pagina van de simulatie in De training voor de aanvalssimulatie in Microsoft 365 Defender portal.