Phishing |
Phishingmail melden – Outlook plugin
Als medewerkers een vermoeden hebben dat ze een phishingmail hebben ontvangen weten ze vaak niet wat ze ermee moeten. Verwijderen is een logische keuze, maar dan is de IT-afdeling niet op de hoogte, en juist dat is belangrijk. De IT-afdeling kan de phishingmail namelijk meteen verwijderen uit de mailbox van iedereen. Veel organisaties weten niet dat Microsoft een plugin voor Outlook heeft gemaakt die hierbij kan helpen. De plugin maakt een knop waarmee een phishingmail meteen naar de IT-afdeling gestuurd kan worden. Maar hoe stel je dit in?
In deze blogpost leggen we technisch en gedetailleerd uit hoe dit voor uw organisatie geregeld kan worden.
Phishingmail melden – Outlook plugin
Wat is er nodig om de knop Phishing Rapporteren in Outlook te krijgen?
Er zijn een aantal stappen waaraan moet worden voldoen om de knop Phishing Rapporteren in Outlook te krijgen. Allereerst moet er een geldig Microsoft 365 abonnement zijn en moet er gebruik worden gemaakt van Outlook (2013 of later, de webversie, 365, iOS app, Android app).
De knop Phishing Rapporteren werkt alleen in mailboxen van echte gebruikers met geldig abonnement, en dus niet bij gedeelde of groeps postvakken. De knop is niet bruikbaar als er uitsluitend gebruik wordt gemaakt van een on-presmises Exchange server. Bij een hybride omgeving is het wel mogelijk. Om de knop voor de hele organisatie toe te voegen moet de beheerde lid zijn van de groep Globale beheerders.
Voor de basisfunctionaliteit is er geen additioneel pakket (Microsoft 365 Defender) nodig. In dat geval worden mails direct doorgestuurd naar een opgegeven e-mailadres, bijvoorbeeld van de IT-afdeling. Vanaf hier kan er zelf bepaald worden wat ermee gebeurt. Het is ook mogelijk om gebruik te maken van Microsoft 365 Defender, dan kunnen de als phishing aangemerkte mails binnen security.microsoft.com worden bekeken.
Hoe installeer je de knop Phishing Rapporteren?
Log in als beheerder binnen https://admin.microsoft.com/AdminPortal/Home#/Settings/IntegratedApps. Klik vervolgens op Get Apps, zoek naar Report Phishing en klik op Get it now. Vul daarna in voor welke gebruikers het ingeschakeld moet worden. Om het te testen kan een los e-mailadres worden opgegeven, maar uiteindelijk moet het ingeschakeld worden voor de ‘Entire organization’. Het kan nu tot 12 uur duren voordat het naar ieders Outlook-client gesynchroniseerd is. Om het een en ander vast door te testen is het ook mogelijk om binnen Outlook handmatig de plugin te activeren. Klik hiervoor binnen Outlook op Get Add-ins, zoek naar Report Phishing en installeer de plugin.Hoe configureer je Report Phishing?
Er zijn een aantal verschillende manieren om de knop Report Phishing te configureren. Onderstaand leggen we de meest gangbare methode uit, maar hetzelfde effect kan worden gerealiseerd met behulp van Rules onder Mail Flow.
Ga binnen het security center naar Policies & Rules, dan naar Threat policies en klik onder Others op User reported message settings (of ga hier direct heen via deze link). Het venster ziet er dan als volgt uit.
Indien het gewenst is dat gemelde phishingmails door Microsoft onderzocht moeten worden kan dat aanblijven, selecteer dan Microsoft and my organization’s mailbox. Wegens de AVG is dit niet altijd wenselijk, kies dan voor de onderste optie, My organization’s mailbox.
Vul hier het e-mailadres in van de persoon/afdeling waarnaar de gemelde phishingmails toe moeten voor analyse. Zorg ervoor dat de knop Let users choose if they want to report ingeschakeld is.
Vervolgens kan er een bericht worden ingesteld die getoond wordt als een gebruiker op de knop klikt.
Hoe meld je een phishingmail?
Iedere gebruiker krijgt automatisch een nieuwe knop binnen Outlook. Bij deze knop staat Report Phishing.
Als een medewerker nu een e-mail krijgt waarvan hij of zij denkt dat het phishing is, kan er op de knop worden geklikt. Het venster dat geopend wordt bevat de tekst die net geconfigureerd is.
Na het doorklikken wordt de mail op de achtergrond doorgestuurd naar het opgegeven e-mailadres, krijgt de gebruiker de geconfigureerde melding en wordt de e-mail automatisch verwijderd.
Vervolgstappen na melden phishingmail
Nadat een medewerker op de knop heeft geklikt krijgt het opgegeven e-mailadres hier een bericht over. Dit bericht bevat de headers van het originele bericht, evenals het originele bericht zelf. Aan de hand van de headers kan mogelijk al worden achterhaald of het daadwerkelijk om phishing gaat. De mail zelf kan natuurlijk ook worden bekeken om te zien of het om phishing gaat.
Binnen Microsoft 365 Defender kunnen de gemelde phishingmails ook worden bekeken, zoals op https://security.microsoft.com/reportsubmission. Voor sommige vensters is een licentie vereist.
Denkt u dat uw organisatie slachtoffer is geworden van phishing en dat er daadwerkelijk is geklikt / gegevens zijn achtergelaten? Neem dan vrijblijvend contact met ons op.
Hoe kunnen wij u helpen?
QR Codes: Het onverwachte wapen in Device Code Phishing
Device code phishing, net als aanvallen via Adversary-in-the-middle (AiTM), vertegenwoordigt een geavanceerde vorm van cyberdreiging die zich onderscheidt van traditionele phishing. Device code phishing exploiteert de ‘OAuth2 Device Authorization Grant flow‘ van Microsoft Azure, die gebruikers in staat stelt zich aan te melden bij apparaten met beperkte invoermogelijkheden.
AiTM: De geavanceerde phishing techniek die MFA te slim af is
Adversary in the Middle ook wel bekend als AiTM phishing is een geavanceerde techniek die zich onderscheidt van traditionele phishing door het vermogen om multifactorauthenticatie (MFA) te omzeilen.
De beste manier om uw bedrijf te beschermen tegen phishing
Als bedrijf wilt u uw organisatie beschermen tegen phishing. Het is vooral belangrijk om de menselijke component aan te pakken. Maar hoe kunt u als bedrijf uw medewerkers het beste trainen in het herkennen en rapporteren van phishing?