Dentro del licenciamiento de Advanced Threat Protection Plan2, existe la opción de simular algunos tipos de ataques con nuestros usuarios del tenant. En la actualidad podemos simular los siguientes ataques :
- Phishing de objetivo definido (robo de credenciales).
- Un ataque de phishing de objetivo definido es un intento dirigido de adquirir información confidencial, como nombres de usuario, contraseñas y datos de tarjeta de crédito, haciéndose pasar por una entidad de confianza. Este ataque utilizará una dirección URL para intentar obtener nombres de usuario y contraseñas.
- Contraseña de fuerza bruta. (Ataque de diccionario).
- Un diccionario de ataque de fuerza bruta es un método automatizado de prueba y error para generar varios intentos de contraseñas a partir de un archivo de diccionario contra una contraseña de usuario.
- Ataque de difusión de contraseña.
- Un ataque de difusión de contraseña es un intento de probar contraseñas utilizadas comúnmente en una lista de cuentas de usuario.
Para simular los ataques, debemos tener la licencia de ATP Plan 2, y el usuario administrador que ejecute o programe los ataques debe tener activa la autenticación de factor múltiple. En esta entrada vamos a simular un ataque de phishing par robo de identidad.
Una vez que contemos con los requisitos anteriores, abrimos una sesión de nuestro navegador y accedemos a https://protection.office.com y seleccionamos “Administración de amenazas” y luego “simulador de ataques” , luego en la ventana que se abrirá al costado derecho, seleccionamos “Iniciar ataque” dentro de la opción “Phishing de objetivo definido” para crear nuestro ataque.
Se nos presentara la configuración del ataque, en primera instancia debemos seleccionar una plantilla para nuestro ataque, para esta demostración usaremos la plantilla de “Actualización de nomina”, para hacer esto presionamos el botón “Usar plantilla” y seleccionamos “Actualización de nomina”. Podemos modificar el nombre sin problemas si así lo desean, en este caso lo dejaremos por defecto y damos clic en “Siguiente”.
En el siguiente paso, debemos configurar los usuarios a quienes les enviaremos el ataque, presionando el botón “Libreta de direcciones”. también podemos agregar usuarios desde un archivo CSV con la opción “Importación”. para este ejemplo usaremos la libreta de direcciones para agregar usuarios. Una vez seleccionados damos clic en siguiente.
Ahora, en este paso podemos personalizar algunos datos del correo que se le enviara a los usuarios. La idea es configurar con datos lo mas parecidos a los reales y damos clic en siguiente.
En esta pantalla, podemos modificar el cuerpo del correo electrónico. si seleccionamos una plantilla, damos clic en siguiente si todo esta en orden.
Una vez que ya tenemos configurado nuestro ataque, damos clic en “Finalizar”
Una vez que presionamos finalizar, se realiza el envío de los correos a los usuarios seleccionados.
Si el usuario, da clic en el botón para actualizar los datos, es llevado a un sitio web del mismo ataque para recopilar la información que entregue el usuario.
si el usuario ingresa sus datos, se le re enviara un sitio, que le avisara que formo parte de una prueba de phishing.
Posteriormente, como administrador, podemos ir al panel de control de simulador de ataques y seleccionar el reporte del mismo. para esto damos clic en “Detalles del ataque” dentro de “Phishing de objetivo definido”
Una vez dentro de los detalles, seleccionamos el ataque del cual queremos ver el informe, en este caso “Actualización de nomina”
Dentro del informe, podemos ver el reporte con los usuarios que hicieron clic en el correo, los que ingresaron las credenciales y los que no realizaron acciones en el mismo.
Con este ataque, podemos ver que usuarios son mas susceptibles a ser victimas de los ataques de Phishing y podemos realizar mas acciones sobre ellos.
Saludos
Samuel 🙂