Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Lucy: Phish yourself

Mit dem kostenlosen Tool Lucy können Admins einen Phishing-Angriff simulieren. Das hilft nicht nur beim Überprüfen des Sicherheitsverhaltens der Mitarbeiter, sondern auch bei gezielten Schulungsmaßnahmen.

In Pocket speichern vorlesen Druckansicht
Lucy: Phish Yourself
Lesezeit: 4 Min.
Security
Von
Inhaltsverzeichnis

Lucy läuft in einer virtuellen Maschine (VM) auf Linux-Basis und setzt einen Phishing-Server auf. Fortan gelingt der Zugriff über einen Browser Ihrer Wahl – dafür müssen Sie lediglich die IP-Adresse der VM in der Adresszeile eingeben. In der Grundvariante ist Lucy kostenlos und Sie können maximal zehn Kampagnen parallel mit insgesamt 500 Nutzern laufen lassen. Die kostenpflichtige Version wartet indes mit verschiedenen hinzu buchbaren Paketen inklusive Herstellersupport auf.

Phishing-Angriff mit wenigen Klicks starten

Lucy greift Ihnen beim Erstellen der Phishing-Kampagne an verschiedenen Stellen unter die Arme und wartet nach dem Abschluss mit umfangreichen Statistiken auf. So hilft Ihnen das Tool etwa beim Bau einer dazu passenden Webseite und der Anfertigung einer Phishing-E-Mail. Die grafische Oberfläche von Lucy gibt sich im Zuge dessen übersichtlich und beides ist in den Grundzügen flugs erstellt.

Um eine Phishing-Kampagne zügig zu starten, können Sie aus verschiedenen Vorlagen für Internetseiten wählen.

(Bild: Lucy )

Wenn Sie Ihre Mitarbeiter zügig testen wollen, bedienen Sie sich einfach bei den Vorlagen. Diese warten mit einer Landing-Page inklusive Benutzernamen- und Passwort-Eingabefeld auf. Das Layout der Seiten entstammt dabei verschiedenen Szenarien und Sie können Ihre Mitarbeiter etwa mit Formularen einer firmeninternen Gesundheits-Kampagne oder der Umstellung auf einen verschlüsselten E-Mail-Versand aufs Glatteis führen.

Mitarbeiter effektiv austricksen

Lucy kann sogar eine ganze Internetseite klonen, die Sie dann im integrierten Editor dem Einsatzzweck anpassen. Dabei können Sie mit HTML-Code arbeiten, alternativ gibt es noch eine What-You-See-Is-What-You-Get-Ansicht. Mittels eines SSL-geschützten Szenarios ist es darüber hinaus möglich, die falsche Fährte weiter auszuschmücken – dabei ist es auch möglich, offizielle Zertifikate zu importieren oder zu erzeugen. Die Domain, vor deren Hintergrund die Kampagne läuft, muss dem Nutzer gehören – im Grunde reicht aber auch eine Reservierung der jeweiligen Internetadresse aus. Alternativ können Sie zudem eine URL via DynDNS einrichten.

Das Design der Phishing-Seite passen Sie mit wenigen Klicks an. Lucy klont auch ganze Webseiten.

(Bild: Lucy)

Mittels des integrierten Mailclients ist es kein Problem Absender zu fälschen und so etwa Phishing-E-Mails im Namen des Chefs an die Abteilungen zu versenden. Die Adressaten importieren Sie bequem aus einer Textdatei. Dabei ist es möglich mit Variablen zu arbeiten und die Auszeichnung %name% fügt innerhalb der Massen-E-Mail automatisch den Namen des Empfängers an der jeweiligen Stelle ein. Umfangreiche Formatierungsoptionen lassen eine flexible Gestaltung der Textbausteine zu. Letztlich ist es auch möglich, Bilder oder multimediale Elemente via Flash direkt einzubinden.

Trojaner unterjubeln

Neben Phishing-Kampagnen können Sie mit Lucy auch Trojaner-Angriffe simulieren und die Mitarbeiter etwa mit vorgeblichen Rechnungen zu konfrontieren, die ausführbare Dateien enthalten. Die dafür nötigen Programme kompilieren Sie direkt aus Lucy heraus – die ausführbaren Dateien sind in diesem Fall aktuell aber nur unter Windows 7 und 8 nutzbar. Zudem ist der Einsatz von Trojanern derzeit nur mit dem Internet Explorer unter Windows realisierbar.

Lucy simuliert außerdem Trojaner-Angriffe. Die ausfühbare Datei erfüllt dabei Reportzwecke, kann Computer aber auch manipulieren.

(Bild: Lucy)

Führt ein Mitarbeiter die Datei aus, findet sich dies umgehend in der Statistik der Kampagne wieder. Neben der Meldefunktion leisten die Trojaner aber noch mehr und Sie können sie beliebige Befehle ausführen lassen. So ist es etwa denkbar, automatisch die letzten zehn vom Nutzer geöffneten PDF-Dateien hochladen zu lassen. Auf Wunsch ist es übrigens möglich, verschiedene Angriffsszenarien innerhalb einer Kampagne zu mischen.

Überblick behalten

Während der Kampagne findet eine Protokollierung des Verhaltens der angeschriebenen Mitarbeiter statt und anhand des Klickverhaltens ist ersichtlich, wer auf den Angriff hereingefallen ist. Dabei ist es auch möglich, die vom Phishing-Formular eingeforderten Daten inklusive Passwörter einzusehen. Eine Exportfunktion der gesammelten Informationen erleichtert die Auswertung. Den Abschluss eines jeden simulierten Angriffes bildet ein simples Phishing-Quiz, das eine Schulung zur Sensibilisierung des Sicherheitsverständnisses natürlich nicht ersetzen kann.

Während und nach einer Kampagne haben Sie Zugriff auf umfangreiche Statistiken, die das Verhalten Ihrer Mitarbeiter protokollieren.

(Bild: Lucy)

Aufgrund der vielfältigen Möglichkeiten ist das Thema Missbrauch für die Lucy-Entwickler ein wichtiger Punkt. Gemäß Oliver Münchow, Gründer von Lucy, erfässt der Anbieter jeden Nutzer im Zuge des Downloads, was einen Missbrauch natürlich nicht ausschließen kann. Er sieht Lucy aufgrund der Spezialisierung auf Reporting- und Auswertungsfunktionen jedoch nicht im Fokus von Hackern und sogenannten Skriptkiddies. Dafür gebe es bereits reihenweise Tools, die deren Bedürfnissen besser entsprechen.

Name: Lucy
Funktion: simuliert Phishing- und Trojaner-Angriff
Plattform: Linux, Mac OS X, Windows (läuft in einer virtuellen Maschine)
Preis: kostenlos, verschiedene Pakte zubuchbar
Download: via Herstellerseite (des)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten