Tester la sensibilité au phishing : Microsoft Attack Simulator

Le phishing (ou hameçonnage) est un vecteur d’attaque très courant et vise directement les utilisateurs du système d’information. De la compromission d’identifiants à la diffusion de logiciels malveillants, les objectifs sont multiples, mais la méthode est souvent identique : inviter l’utilisateur à cliquer sur un lien dans un e-mail.

Si des solutions techniques existent pour intercepter les tentatives, Microsoft Defender Safe Links notamment, il est aussi primordial de sensibiliser les utilisateurs et de s’assurer (tester) que cette sensibilisation est effective.

Le simulateur d’attaques Microsoft Defender propose une solution permettant de tester vos utilisateurs avec différents scénarios, celui qui nous intéresse ici étant l’attaque par harponnage. Cet outil permettra d’identifier les utilisateurs qui cliquent sur un lien malveillant d’une part, et ceux allant jusqu’à saisir leur identifiant O365 dans une page malveillante.

Prérequis pour accéder à l’outil

Le simulateur d’attaques est disponible avec la licence Defender pour Office 365 plan 2, il est aussi inclus dans le package Microsoft 365 E5/E5 sécurité. L’utilisateur en charge de la configuration et de la gestion de la campagne doit avoir l’authentification multi-facteurs activée.

Définir son scénario de phishing

Avant toute chose, il est important de réfléchir au scénario qui va être implémenté dans l’outil, notamment :

Qui sont mes cibles ?
Quel appât vais-je utiliser (partage de document, alerte sur mot de passe expiré…) ?
Quelle forme mon e-mail doit avoir ?
Quelle va être la page d’information disponible après une tentative de connexion ?

Le scénario doit être le plus réaliste possible et permettre de tester les attaques que subissent réellement les utilisateurs. Attention toutefois à ne pas réutiliser des messages malveillants sans veiller préalablement à retirer l’ensemble des liens d’origine (y compris dans les images etc).

Configurer une campagne et tester les utilisateurs

Depuis la page de configuration, lancer une nouvelle campagne Harponnage (recueil des informations d’identification) et suivre les étapes de l’assistant.

Les cibles sont des utilisateurs ou des groupes

2020-12-16 11_07_09-Window — Construire les spécificités du message

2020-12-16 11_07_18-Window — Le contenu est personnalisable

2020-12-16 11_07_25-Window — Utiliser les variables pour améliorer la personnalisation

2020-12-16 11_07_31-Window — L’édition HTML permet de pousser la personnalisation

Le point de vue de l’utilisateur

2020-12-16 11_15_21-Window — L’e-mail dans la boite de réception

2020-12-16 11_15_39-Window — La fausse page de connexion

L’exploration des résultats

La campagne va suivre son cours et permettra d’accéder en temps réel aux statistiques de clics sur le lien et de tentatives de connexions. Ces données sont exportables pour permettre une analyse plus poussée.

2020-12-16 11_16_31- — Les données d’une campagne

L’avis de Pérenne’IT

Le simulateur d’attaques est un outil intéressant et suffisamment souple pour permettre d’explorer une multitude de scénarios. Il pourra être intéressant d’inclure les équipes support dans le scénario pour mesurer la capacité de réponse et le bon suivi des procédures.

Le phishing est un des scénarios disponibles dans l’outil, qui est aussi capable de simuler une pièce-jointe malveillante ou de tester la qualité des mots de passe.