Der Target Fraud Forensic Filter ist ein Mechanismus von Hornetsecurity ATP.
Hier werden E-Mails gezielt auf personenbezogene Angriffe analysiert. In solchen Fällen werden spezielle Personen – meist Entscheidungsträger im Unternehmen mit der Berechtigung, Geldüberweisungen freizugeben – direkt kontaktiert und versucht, diese dazu zu bringen, (hohe) Geldbeträge zu transferieren.
Verhalten
Der Filter setzt verschiedene Heuristiken und Mechanismen ein, um solche E-Mails zu erkennen:
- Intention Recognition System: Die E-Mail wird auf Inhaltsmuster geprüft (z.B. Zahlungsaufforderungen, Weitergabe von Informationen, etc.)
- Fraud Attempt Analysis: Hier wird die Authentizität und Integrität von Metadaten und Mailinhalten überprüft
- Identity Spoofing Recognition: Erkennung und Blockierung gefälschter Absender Identitäten
- Spy-Out Detection: Hier wird speziell verifiziert, ob sicherheitsrelevante Daten gewonnen werden sollen (z.B. Passwörter, Unternehmensgeheimnisse, etc.)
- Feign Facts Identification: Der E-Mail-Inhalt wird hier auf Informationsgewinnung durch Vorspiegelung falscher Tatsachen geprüft
- Targeted Attack Detection: Erkennung gezielter Angriffe auf einzelne Personen
Für welche User sollte TFFF aktiviert werden?
Die Einrichtung ist für spezielle Adressen vorgesehen, die bei Ihnen in der Firma als Entscheidungsträger für Angriffe gefährdet sind. Auf Wunsch ist natürlich auch eine Einrichtung für alle User möglich. Damit der Kundensupport den Mechanismus einrichten kann, wird eine Liste aller Postfächer benötigt, die den Filter verwenden sollen.
Typische Fallbeispiele und Empfehlungen zur Konfiguration:
Um den Target Forensics Fraud Filter erfolgreich und korrekt für Ihren individuellen Anwendungszweck zu konfigurieren, ist es hierbei notwendig zu definieren, welche E-Mail-Adressen vom CEO-Fraud betroffen sein können/könnten.
Beispiel 1:
Der Angreifer schickt im Namen der Geschäftsführung eine E-Mail an die Buchhaltung mit einer Zahlungsanweisung auf ein definiertes Konto. Die Buchhaltung akzeptiert die E-Mail, öffnet diese und bearbeitet das Anliegen, da Sie von der eigenen Geschäftsführung stammt.
In diesem Beispiel sind zwei Adressen vom CEO Fraud betroffen, zum Einen die E-Mail Adresse der Geschäftsführung und zum Anderen die E-Mail-Adresse der Empfänger. Hierbei sollte der Filter für die Geschäftsführung eingerichtet werden.
Beispiel 2:
Der Angreifer schickt im Namen eines Abteilungs-/Teamleiters eine E-Mail an verschiedene Mitarbeiter mit Handlungsanweisungen, wie etwa einer Zahlungsanweisung.
In diesem Fall, sollte ein Eintrag in den Filter für den entsprechenden Abteilungs-/Teamleiters aufgenommen werden, da dieser in dem Fall eine Entscheidungs- bzw. Weisungsberechtigung aufweist.
Wird geplant, diese Filterstufe in Benutzung zu nehmen, ist es hierbei erforderlich, die entsprechenden E-Mail-Adressen inklusive aller dazugehörigen Vor- und Nachnamen zu verzeichnen.
Zur erfolgreichen Einrichtung benötigen wir eine Liste im CSV-Format mit den folgenden Angaben:
Vorname; Nachname; Domain (sowie Alias Domains, falls vorhanden); E-Mail-Adresse (sowie Alias Adressen, falls vorhanden)
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.