Skip to main content
Skip table of contents

(Beta) Phishing Report Button

Read this article in: English, German

Wir bereiten gerade den Start einer verbesserten Version des Phishing-Meldebuttons vor! Wenn Sie an der Beta-Phase teilnehmen, finden Sie hier die entsprechende Dokumentation. Auch wenn Sie nicht an der Beta teilnehmen, können Sie sich die Dokumentation gerne anschauen. Die Installation selbst hat sich zwar nicht geändert, aber die Supportseiten wurden optimiert, und Sie können vorab einen Überblick über einige der Änderungen verschaffen.

Technischer Überblick

Der Phishing-Meldebutton (PRB) ist ein Add-in für Microsoft Outlook, mit dem Sie E-Mails melden können, die von Ihren Mitarbeitenden als möglicherweise bösartig eingeschätzt werden. Diese Add-ins lassen sich einfach auf dem Exchange-Server Ihrer Organisation installieren und werden lokal ausgeführt. Das bedeutet, dass sie direkt in Outlook, im Browser (Outlook Web Access) und in der mobilen Outlook-App funktionieren.

Das Add-in basiert auf den Technologien HTML, CSS und JavaScript und ist kein älteres COM+-Plugin. Dank der verwendeten Webtechnologien kann das Add-in auch in OWA (Outlook on the Web) oder in den mobilen Outlook-Apps genutzt werden.

Die Anwendung wird über eine Manifestdatei in die Exchange-Umgebung eingebunden (siehe Phishing-Meldebutton - Installation). Diese Datei enthält alle Konfigurationen für die Anzeige, Zugriffsrechte und Verweise auf den Add-in-Host. Als Schnittstelle zum Exchange-Server können die Microsoft REST-API (bei lokalen Installationen), die Graph-API oder EWS (Exchange Web Services) verwendet werden.

Darüber hinaus ruft die Schaltfläche beim Start zunächst ein Konfigurationspaket von unserem SoSafe-Server ab.

  • Add-in-Host: https://reporter.sosafe.de

  • SoSafe-API-URL: https://api.sosafe.de/v1

Das Add-In greift konkret auf folgende Endpunkte zu:

API:                                                

getCallbackTokenAsync (mit isRest Flagge)

Abruf des Zugrifftokens

GET

/api/v2.0/me/messages/MESSAGEID 

Abruf des E-Mail-Headers

POST

/api/v2.0/me/sendmail

E-Mail-Versand

DELETE

/api/v2.0/me/messages/MESSAGEID

E-Mail-Löschung

GET

/api/v2.0/me/messages/MESSAGEID/ attachments/ATTACHMENTID

Abruf möglicher Anhänge

EWS: 

getCallbackTokenAsync

makeEwsRequestAsync

So funktionieren Meldungen

  1. Wenn Ihre Nutzer den Button anklicken, wird im Hintergrund der erforderliche JavaScript-Code von der SoSafe-Schnittstelle heruntergeladen (die API befindet sich unter https://reporter.sosafe.de).

  2. Das System überprüft zunächst Ihre SoSafe-Lizenz. Sobald eine aktive Lizenz bestätigt wurde, öffnet sich ein neues Dialogfenster.

  3. Die Nutzer sehen die Header-Informationen der E-Mail, wie Betreff und Absender, die direkt vom Exchange-Server abgerufen werden. Außerdem werden Details zum E-Mail-Inhalt und zu etwaigen Anhängen angezeigt.

  4. Mit diesen Informationen können Ihre Nutzer entscheiden, ob sie die E-Mail melden möchten.

  5. Wenn sie sich für eine Meldung entscheiden, folgt das Add-in einem bestimmten Protokoll. Der Ablauf variiert je nachdem, ob es sich bei der E-Mail um einen simulierten Phishing-Versuch oder eine tatsächliche verdächtige E-Mail handelt.

Meldung einer simulierten E-Mail

Wenn Ihre Nutzer eine E-Mail melden, die Teil einer Phishing-Simulation ist, erhalten sie eine positive Rückmeldung, die bestätigt, dass sie diese korrekt identifiziert haben. Jede simulierte E-Mail verfügt über einen eindeutigen, anonymen Code, der sie sicher als SoSafe-E-Mail kennzeichnet. Wenn sie den Buttom verwenden, sendet der PRB diesen Code an die SoSafe-Evaluierungs-API (https://api.sosafe.de). Dies bestätigt nicht nur die Authentizität der E-Mail, sondern hilft auch bei der Berechnung der Melderate in den Analytics des SoSafe Managers (erfahren Sie mehr in unserer Analytics-Dokumentation). Sobald eine E-Mail gemeldet wurde, schließt sich das Fenster und die E-Mail wird automatisch aus dem Postfach entfernt.

Meldung einer verdächtigen E-Mail

Falls die gemeldete E-Mail nicht von SoSafe stammt, löst der PRB einen anderen Prozess aus. Er erstellt auf dem Exchange-Server eine neue E-Mail, die den Inhalt der verdächtigen E-Mail (Header, Text und Anhänge) als Anhänge enthält. Diese E-Mail wird dann über die Exchange GraphAPI, die REST-API (von Microsoft mittlerweile als veraltet eingestuft) oder EWS an das Sicherheitsteam Ihrer Organisation gesendet. Nach dem Melden wird die verdächtige E-Mail mithilfe der gewählten API aus dem Postfach gelöscht.

Die gesamte Verarbeitung findet auf Ihrem Server statt. Die von Nutzern gemeldeten E-Mails werden niemals an SoSafe gesendet. Dies passiert nur, wenn Threat Inbox aktiviert ist und/oder sie eine E-Mail-Weiterleitungsmethode eingerichtet haben, über die Sie hier mehr erfahren können.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close