Cyber Guru Phishing ermöglicht das Erkennen und Erfassen von Meldungen durch Nutzer (Cyber Defenders), die einen simulierten Angriff korrekt identifizieren und an die zuständige Abteilung weiterleiten.
Damit diese Meldungen von der Plattform anerkannt und gewertet werden, ist es entscheidend, den Weiterleitungsprozess korrekt zu konfigurieren, um die sogenannten "Gemeldeten Angriffe" nachverfolgen zu können.
Eine Meldung wird nicht erfasst, wenn der Nutzer zuerst auf den Link in der E-Mail klickt und die Meldung erst danach vornimmt.
Wenn deine Organisation Google Workspace oder Microsoft 365 verwendet, empfehlen wir, die entsprechenden Abschnitte für eine spezifische und optimierte Konfiguration des Meldeprozesses zu lesen.
Anleitung zur Konfiguration der Meldung MICROSOFT 365
Anleitung zur Konfiguration der Meldung GOOGLE WORKSPACE
In allen anderen Fällen beschreibt diese Anleitung die allgemeinen Richtlinien für das Routing von Meldungen an Cyber Guru, die als Referenz für die korrekte Konfiguration der Unternehmenssysteme dienen.
Es ist wichtig, dass der Meldeprozess so gefiltert wird, dass ausschließlich simulierte Phishing-Nachrichten, die von der Plattform generiert und direkt an den Nutzer gesendet wurden, an Cyber Guru weitergeleitet werden. Andere, nicht relevante Nachrichten oder echte Phishing-Versuche sind auszuschließen. Nachrichten, die nicht von Cyber Guru stammen, können blockiert oder zur weiteren Analyse im Hinblick auf IT-Sicherheit an das SOC/CERT des Kunden weitergeleitet werden.
Bedingungen für das Weiterleiten einer Meldung an Cyber Guru
Damit eine Meldung in der Cyber Guru Plattform erfasst wird, müssen folgende Bedingungen erfüllt sein:
- Für jede Meldung eines Nutzers muss eine E-Mail an folgende Adresse gesendet werden: defenders@cyberguru.report
- Die E-Mail, die gemeldet werden soll, kann direkt im Nachrichtentext (In-Body) weitergeleitet oder als Anhang gesendet werden.
- Die Meldung muss, unabhängig von der gewählten Methode (In-Body oder Anhang), mindestens den Teil "?rid=" gefolgt von der RID-Kennung enthalten – ein alphanumerischer Code, der für jede Kampagne, jeden Nutzer und Kunden eindeutig ist.
Beispiele für korrekt erfasste Meldungen
Nachfolgend einige beispielhafte Szenarien, in denen das System die eingegangenen Meldungen korrekt erfasst:
- Der Nutzer leitet die Phishing-E-Mail an das SOC/CERT weiter, das sie anschließend an defenders@cyberguru.report weiterleitet.
- Der Nutzer leitet die Phishing-E-Mail an ein Ticketsystem weiter, von wo aus sie anschließend an defenders@cyberguru.report weitergeleitet wird.
Beispiele für NICHT gültige Meldungen
Nachfolgend einige Beispiele, in denen das System die eingegangenen Meldungen nicht korrekt erfasst:
- Es wird eine Liste von E-Mail-Adressen gesendet
- Es wird eine Liste von Benutzernamen gesendet
- Es wird eine Liste von RID gesendet
- Es wird eine einzelne E-Mail-Adresse gesendet
- Es wird ein einzelner Benutzername gesendet
- Es wird ein RID-Code ohne den Zusatz "?rid=" gesendet
- Es werden mehrere E-Mails von verschiedenen Nutzern zusammen gesendet
Vorgehen für das automatische Routing gemeldeter E-Mails
Jede von der Plattform gesendete E-Mail ist anhand folgender Merkmale erkennbar:
-
DKIM-Signatur auf der für die Kampagne verwendeten Simulationsdomain — prüfen, dass die DKIM-Signatur gültig ist (
dkim=pass) und dass die signierende Domain (d=) einer autorisierten Cyber Guru Simulationsdomain entspricht. Verfügbar zum Zeitpunkt der Zustellung. - Absender-IP-Adresse — Sofern nicht anders vereinbart: 85.235.135.191. Überprüfbar zum Zeitpunkt der Zustellung.
-
Parameter
?rid=in den URLs — eindeutige Kennung für Kampagne, Nutzer und Kunde. Im Nachrichtentext enthalten, auch nach dem Weiterleiten verfügbar.
Routing der Meldung
Bei der Zustellung: Wenn das Mailsystem es zulässt, eine Mailflow-Regel einrichten, die die DKIM-Signatur für eine autorisierte Cyber Guru Simulationsdomain prüft und die Nachricht entsprechend markiert, um sie später für das Routing der Meldung zu verwenden.
Bei der Meldung: Für das automatische Routing sicherstellen, dass:
- die Domain des Links zu einer erwarteten Cyber Guru Simulationsdomain gehört
- der Link den Parameter
?rid=enthält - der RID-Wert im von der Plattform generierten Format vorliegt
Nachrichten, die diese Kriterien erfüllen, müssen an defenders@cyberguru.report weitergeleitet werden. Alle anderen gemeldeten Nachrichten sind gemäß den Sicherheitsrichtlinien der Organisation (SOC/CERT) zu behandeln.