Phishing-Meldebutton
Technischer Überblick
Der Phishing-Meldebutton (PRB) ist ein Add-in für Microsoft Outlook, mit dem Sie E-Mails melden können, die von Ihren Mitarbeitenden als möglicherweise bösartig eingeschätzt werden. Diese Add-ins lassen sich einfach auf dem Exchange-Server Ihrer Organisation installieren und werden lokal ausgeführt. Das bedeutet, dass sie direkt in Outlook, im Browser (Outlook Web Access) und in der mobilen Outlook-App funktionieren.
Das Add-in basiert auf den Technologien HTML, CSS und JavaScript und ist kein älteres COM+-Plugin. Dank der verwendeten Webtechnologien kann das Add-in auch in OWA (Outlook on the Web) oder in den mobilen Outlook-Apps genutzt werden.
Die Anwendung wird über eine Manifestdatei in die Exchange-Umgebung eingebunden (siehe Phishing-Meldebutton - Installation). Diese Datei enthält alle Konfigurationen für die Anzeige, Zugriffsrechte und Verweise auf den Add-in-Host. Als Schnittstelle zum Exchange-Server können die Microsoft REST-API (bei lokalen Installationen), die Graph-API oder EWS (Exchange Web Services) verwendet werden.
Darüber hinaus ruft die Schaltfläche beim Start zunächst ein Konfigurationspaket von unserem SoSafe-Server ab.
Add-in-Host:
https://reporter.sosafe.deSoSafe-API-URL:
https://api.sosafe.de/v1
Das Add-In greift konkret auf folgende Endpunkte zu:
API:
| Abruf des Zugrifftokens | |
|
| Abruf des E-Mail-Headers |
|
| E-Mail-Versand |
|
| E-Mail-Löschung |
|
| Abruf möglicher Anhänge |
EWS:
getCallbackTokenAsync
makeEwsRequestAsync
So funktionieren Meldungen
Wenn Ihre Nutzer den Button anklicken, wird im Hintergrund der erforderliche JavaScript-Code von der SoSafe-Schnittstelle heruntergeladen (die API befindet sich unter
https://reporter.sosafe.de).Das System überprüft zunächst Ihre SoSafe-Lizenz. Sobald eine aktive Lizenz bestätigt wurde, öffnet sich ein neues Dialogfenster.
Die Nutzer sehen die Header-Informationen der E-Mail, wie Betreff und Absender, die direkt vom Exchange-Server abgerufen werden. Außerdem werden Details zum E-Mail-Inhalt und zu etwaigen Anhängen angezeigt.
Mit diesen Informationen können Ihre Nutzer entscheiden, ob sie die E-Mail melden möchten.
Wenn sie sich für eine Meldung entscheiden, folgt das Add-in einem bestimmten Protokoll. Der Ablauf variiert je nachdem, ob es sich bei der E-Mail um einen simulierten Phishing-Versuch oder eine tatsächliche verdächtige E-Mail handelt.
Meldung einer simulierten E-Mail
Wenn Ihre Nutzer eine E-Mail melden, die Teil einer Phishing-Simulation ist, erhalten sie eine positive Rückmeldung, die bestätigt, dass sie diese korrekt identifiziert haben. Jede simulierte E-Mail verfügt über einen eindeutigen, anonymen Code, der sie sicher als SoSafe-E-Mail kennzeichnet. Wenn sie den Buttom verwenden, sendet der PRB diesen Code an die SoSafe-Evaluierungs-API (https://api.sosafe.de). Dies bestätigt nicht nur die Authentizität der E-Mail, sondern hilft auch bei der Berechnung der Melderate in den Analytics des SoSafe Managers (erfahren Sie mehr in unserer Analytics-Dokumentation). Sobald eine E-Mail gemeldet wurde, schließt sich das Fenster und die E-Mail wird automatisch aus dem Postfach entfernt.
Meldung einer verdächtigen E-Mail
Falls die gemeldete E-Mail nicht von SoSafe stammt, löst der PRB einen anderen Prozess aus. Er erstellt auf dem Exchange-Server eine neue E-Mail, die den Inhalt der verdächtigen E-Mail (Header, Text und Anhänge) als Anhänge enthält. Diese E-Mail wird dann über die Exchange GraphAPI, die REST-API (von Microsoft mittlerweile als veraltet eingestuft) oder EWS an das Sicherheitsteam Ihrer Organisation gesendet. Nach dem Melden wird die verdächtige E-Mail mithilfe der gewählten API aus dem Postfach gelöscht.
Die gesamte Verarbeitung findet auf Ihrem Server statt. Die von Nutzern gemeldeten E-Mails werden niemals an SoSafe gesendet. Dies passiert nur, wenn Threat Inbox aktiviert ist und/oder sie eine E-Mail-Weiterleitungsmethode eingerichtet haben, über die Sie hier mehr erfahren können.
Mehr Informationen
Alle weiteren Informationen finden Sie hier: