Der Target Fraud Forensic Filter ist ein Mechanismus von Hornetsecurity ATP.


Hier werden E-Mails gezielt auf personenbezogene Angriffe analysiert. In solchen Fällen werden spezielle Personen – meist Entscheidungsträger im Unternehmen mit der Berechtigung, Geldüberweisungen freizugeben – direkt kontaktiert und versucht, diese dazu zu bringen, (hohe) Geldbeträge zu transferieren.


Verhalten

Der Filter setzt verschiedene Heuristiken und Mechanismen ein, um solche E-Mails zu erkennen:

  • Intention Recognition System: Die E-Mail wird auf Inhaltsmuster geprüft (z.B. Zahlungsaufforderungen, Weitergabe von Informationen, etc.)
  • Fraud Attempt Analysis: Hier wird die Authentizität und Integrität von Metadaten und Mailinhalten überprüft
  • Identity Spoofing Recognition: Erkennung und Blockierung gefälschter Absender Identitäten
  • Spy-Out Detection: Hier wird speziell verifiziert, ob sicherheitsrelevante Daten gewonnen werden sollen (z.B. Passwörter, Unternehmensgeheimnisse, etc.)
  • Feign Facts Identification: Der E-Mail-Inhalt wird hier auf Informationsgewinnung durch Vorspiegelung falscher Tatsachen geprüft
  • Targeted Attack Detection: Erkennung gezielter Angriffe auf einzelne Personen


Einrichtung

Der Target Fraud Forensic Filter, aber auch das URL Rewriting,müssen durch den Hornetsecurity Kundensupport aktiviert werden. Eine Aktivierung von ATP im Control Panel reicht hierbei nicht aus.


Die Einrichtung ist für spezielle Adressen vorgesehen, die bei Ihnen in der Firma als Entscheidungsträger für Angriffe gefährdet sind. Eine globale Prüfung auf Domainebene findet nicht statt. Damit der Kundensupport den Mechanismus einrichten kann, wird eine Liste mit E-Mail Adressen benötigt, die überprüft werden sollen.



Typische Fallbeispiele und Empfehlungen zur Konfiguration:
Um den Target Forensics Fraud Filter erfolgreich und korrekt für Ihren individuellen Anwendungszweck zu konfigurieren, ist es hierbei notwendig zu definieren, welche E-Mail Adressen vom CEO-Fraud Versuch betroffen sein können.


Beispiel 1:
Der Angreifer schickt im Namen der Geschäftsführung eine E-Mail an die Buchhaltung mit einer Zahlungsanweisung auf ein definiertes Konto. Die Buchhaltung akzeptiert die E-Mail, öffnet diese und bearbeitet das Anliegen, da Sie von der eigenen Geschäftsführung stammt.


In diesem Beispiel sind zwei Adressen vom CEO Fraud betroffen, zum Einen die E-Mail Adresse der Geschäftsführung und zum Anderen die E-Mail Adresse der Empfänger. Hierbei sollte der Filter für die Geschäftsführung eingerichtet werden.


Beispiel 2:
Der Angreifer schickt im Namen eines Abteilungs / Teamleiters eine E-Mail an verschiedene Mitarbeiter mit Handlungsanweisungen, wie etwa einer Zahlungsanweisung.

In diesem Fall, sollte ein Eintrag in den Filter für den entsprechenden Abteilungs / Teamleiter aufgenommen werden, da dieser in dem Fall eine Entscheidungs bzw. Weisungsberechtigung aufweist.

Wird geplant, diese Filterstufe in Benutzung zu nehmen, ist es hierbei erforderlich, die entsprechenden E-Mail Adressen inklusive aller dazugehörigen Vor- und Nachnamen zu verzeichnen.


Zur erfolgreichen Einrichtung benötigen wir eine Liste im CSV-Format mit den folgenden Angaben:
Vorname; Nachname; Domain (sowie Alias Domains, falls vorhanden); E-Mail Adresse(sowie Alias Adressen, falls vorhanden)