Microsoft 365 Security: Simulación de ataques y entrenamiento parte 1 – Phishing.

0 Shares
0
0
0

Microsoft ha remplazado la experiencia del simulador de ataques, con uno mas completo y con una nueva estructura de uso. Vamos a revisar paso a paso como hacer una campaña de ataque de phishing y entrenamiento.

Prerrequisitos

El primer y obvio prerrequisito es contar con el licenciamiento adecuado, para esta versión del simulador, Microsoft indica el siguiente licencimiento :

  • Licencia de Microsoft 365 E5,E3 o Microsoft Defender for Office 365 Plan 2 (ATP Plan 2)

Una vez validado el licenciamiento, también necesitamos agregar permisos al usuario. En esta versión del simulador los permisos deben ser asignados directamente a través del portal Azure AD. Los permisos necesarios son :

  • Organization Management. (Administrador de Exchange)
  • Security Administrator (Administrador de Seguridad)
  • Attack Simulator Administrators (Administrador de simulaciones de ataques)
  • Attack Payload Author (Autor de cargas de ataques)

Si vamos a https://security.microsoft.com/attacksimulator sin tener los permisos asignados, veremos el siguiente mensaje.

Configuración de permisos

Entonces, para configurar los permisos requeridos, abrimos una nueva ventana del navegador y vamos a https://aad.portal.azure.com, luego desde ahi a Usuarios y seleccionamos el usuario que utilizaremos para crear los ataques. Una vez dentro de las propiedades del usuario damos clic en “Roles Asignados” y luego “Agregar asignaciones”.

Dentro de la pestaña asignaciones, seleccionamos los permisos indicados y damos clic en “Agregar”

Una vez asignados los permisos debemos verlos asignados al usuario.

Configuración del ataque

Una vez asignados los permisos al usuario ya estamos en condiciones de generar una simulación de ataque. para esto abrimos una nueva ventana del navegador y vamos a https://security.microsoft.com/attacksimulator.

En esta ventana damos clic en “Simulaciones” y luego “Iniciar una simulación”.

En el asistente para la nueva simulación, en el apartado de selección de técnica, elegimos que ataque queremos simular. Para este ejemplo usaremos “Cosecha de credenciales” que es el objetivo común del “Phishing” y damos clic en siguiente.

 

En el siguiente paso, damos un nombre descriptivo a la simulación mas una breve descripción del mismo y damos clic en Siguiente.

Ahora debemos seleccionar la “carga” o payload que será enviado a los usuarios, y esto en este escenario no es mas que el correo que recibirá el usuario. Por defecto el simulador ya viene precargado con ejemplos de carga en español, por lo cual solo debemos ordenar por idioma la ventana y seleccionar alguna de las cargas en español. Al momento del post, para cosecha de credenciales están disponible las siguientes cargas:

  • Renovación de dominio.
  • Inicio de sesión en cuenta Microsoft desde un dispositivo desconocido.
  • Encuesta de satisfacción.
  • Actualización de dispositivo cuenta “Scotiabank”.
  • Cuota de buzón excedida.
  • Expiración de contraseña.

Puedes tener una vista previa de cada correo seleccionándolo. También desde esta misma pagina puedes crear una carga personalizada para tu empresa y puedes enviar el mensaje de prueba.

 

Para este ejemplo, seleccionaremos la carga “Inicio de sesión en cuenta Microsoft desde un dispositivo desconocido.” y daremos clic en siguiente.

Ahora debemos agregar los usuarios a los cuales se les hará el envío de los mensajes simulados. Podemos seleccionar a todos los usuarios o grupos y usuarios específicos. Una vez agregados los usuarios damos clic en siguiente.

 

Esta nueva versión del simulador nos permite asignar entrenamiento a los usuarios participantes de la simulación. En esta etapa les recomiendo usar las opciones por defecto y permitir que Microsoft asigne automáticamente el entrenamiento recomendado a los usuarios post evento, aun que ustedes también tienen la opción de seleccionar el entrenamiento manualmente. Adicionalmente les recomiendo mantener el plazo de vencimiento para los entrenamiento en 30 días después de la finalización de la simulación.

Una vez conforme con la configuración damos clic en siguiente.

 

Ahora debemos seleccionar la pagina de aterrizaje donde serán redirigidos los usuarios al finalizar el ejercicio. Mi recomendación es utilizar alguna de las incluidas por Microsoft, pero puedes crear una propia o utilizar una existente a través de la URL. Para este ejemplo utilizaremos la pagina de aterrizaje predeterminada de Microsoft. 

También podemos subir nuestro logo para personalizar la pagina de aterrizaje de Microsoft. Una vez escogidas la pagina de aterrizaje podemos dar clic en “Abrir panel de vista previa” para mirar la pagina que verán los usuarios.

Marcamos la opción indicadores de carga y damos clic en siguiente si esta todo correcto.

 

Continuando con el proceso de simulación y entrenamiento, tenemos la opción de notificar a los usuarios que de manera correcta reportaron el ataque de phishing a través de Outlook o Outlook Online. En la opción “Seleccionar notificación de usuario final” marcamos la casilla “Notificación predeterminada de Microsoft”, luego seleccionamos el idioma, en nuestro caso “español”.

En preferencias de entrega de la notificación seleccionamos la oportunidad en la que se entregaran estos mensajes, puede ser durante la campaña o una vez finalizada. Para este este ejemplo enviaremos los mensajes durante la campaña y damos clic en siguiente.

Si quieres ver la vista previa del mensaje de notificación puedes hacer clic en el icono del ojo al final de la selección, bajo el menú Acciones.

Y ahora solo resta iniciar la simulación o programarla para una fecha futura. Para este ejemplo iniciaremos la simulación inmediatamente y finalizara luego de 2 días.

 

Finalmente hacemos una revisión rápida y si es todo correcto damos clic en Enviar para iniciar el ataque simulado a nuestros usuarios. Si tenemos dudas podemos hacer un envío de prueba dando clic en “Enviar una prueba”.

 

Experiencia del usuario

Una vez enviado el ataque el usuario recibirá el correo en su bandeja de entrada.

Si el usuario da clic en “Haga clic aquí”, será llevado a una pagina de inicio sesión similar a la de Microsoft 365 para capturar los datos.

Si el usuario finalmente entrega los datos será enviado a la pagina de aterrizaje que configuramos indicando que ha caído en un evento simulado de Phishing e indicándole sugerencias para detectar los correos y ataques de este tipo en el futuro.

También, dentro de la misma pagina y acorde a lo configurado se entrega el enlace para la capacitación recomendada al usuario.

Adicionalmente, se envían los enlaces para la formación al correo electrónico del usuario.

La formación son cursos sencillos y didácticos para ayudar a los usuarios a entender el tema en cuestión.

Análisis de la simulación y resultados.

Para poder conocer los resultados de la simulación, debemos volver al panel de Entrenamiento de simulación de ataque, y damos clic en la simulación a revisar.

Aquí podemos observar los resúmenes de la actividad, como por ejemplo los usuarios.

Con estos sencillos pasos podemos poner a prueba a nuestros usuarios, saber cuales son los mas vulnerables a este tipo de ataque y poner el foco en el entrenamiento de manera directa desde la campaña.

Si necesitas realizar este tipo de ataques con mas detalles y todas las funcionalidades para tu empresa o cualquier tipo de trabajos o proyectos en Microsoft 365 puedes contactarme en samuel@samuelcampos.cl.

Saludos,
Samuel. 🙂

0 Shares
1 comment

Comments are closed.

You May Also Like