ProHoster > Blog > administrasie > 1. Opleiding van gebruikers in die basiese beginsels van inligtingsekuriteit. Veg teen uitvissing
1. Opleiding van gebruikers in die basiese beginsels van inligtingsekuriteit. Veg teen uitvissing
Vandag spandeer 'n netwerkadministrateur of inligtingsekuriteitsingenieur baie tyd en moeite om die omtrek van 'n ondernemingsnetwerk teen verskeie bedreigings te beskerm, en bemeester nuwe stelsels om gebeure te voorkom en te monitor, maar selfs dit waarborg nie volledige sekuriteit nie. Sosiale ingenieurswese word aktief deur aanvallers gebruik en kan ernstige gevolge hê.
Hoe gereeld het jy jouself al gevang dat jy dink: "Dit sal lekker wees om 'n toets vir personeel oor inligtingsekuriteitsgeletterdheid te reël"? Ongelukkig loop gedagtes in 'n muur van misverstand in die vorm van 'n groot aantal take of beperkte tyd in die werksdag. Ons beplan om jou te vertel van moderne produkte en tegnologieë op die gebied van outomatisering van personeelopleiding, wat nie lang opleiding vir loodsing of implementering sal vereis nie, maar oor alles in orde.
Teoretiese grondslag
Vandag word meer as 80% van kwaadwillige lêers via e-pos versprei (data geneem uit verslae van Check Point-spesialiste oor die afgelope jaar wat die Intelligence Reports-diens gebruik).
Verslag vir die afgelope 30 dae oor die aanvalvektor vir verspreiding van kwaadwillige lêers (Rusland) - Check Point
Dit dui daarop dat die inhoud in e-posboodskappe redelik kwesbaar is vir uitbuiting deur aanvallers. As ons die gewildste kwaadwillige lêerformate in aanhangsels (EXE, RTF, DOC) oorweeg, is dit die moeite werd om daarop te let dat hulle, as 'n reël, outomatiese elemente van kode-uitvoering bevat (skrifte, makro's).
Jaarlikse verslag oor lêerformate in ontvangde kwaadwillige boodskappe - Check Point
Hoe om hierdie aanvalvektor te hanteer? Om e-pos na te gaan behels die gebruik van sekuriteitsnutsmiddels:
Antivirus - handtekeningopsporing van dreigemente.
Nydigheid - 'n sandbak waarmee aanhegsels in 'n geïsoleerde omgewing oopgemaak word.
Inhoudbewustheid - onttrek aktiewe elemente uit dokumente. Die gebruiker ontvang 'n skoongemaakte dokument (gewoonlik in PDF-formaat).
Anti gemorspos - kontroleer die ontvanger/sender-domein vir reputasie.
En in teorie is dit genoeg, maar daar is nog 'n ewe waardevolle hulpbron vir die maatskappy - korporatiewe en persoonlike data van werknemers. In onlangse jare het die gewildheid van die volgende tipe internetbedrog aktief gegroei:
Uitvissing (Engelse uitvissing, van visvang - visvang, visvang) - 'n tipe internetbedrog. Die doel daarvan is om gebruikersidentifikasiedata te bekom. Dit sluit die diefstal van wagwoorde, kredietkaartnommers, bankrekeninge en ander sensitiewe inligting in.
Aanvallers verbeter metodes van phishing-aanvalle, herlei DNS-versoeke vanaf gewilde werwe, en begin hele veldtogte deur sosiale ingenieurswese te gebruik om e-pos te stuur.
Dus, om u korporatiewe e-pos te beskerm teen uitvissing, word dit aanbeveel om twee benaderings te gebruik, en die gekombineerde gebruik daarvan lei tot die beste resultate:
Tegniese beskerming gereedskap. Soos vroeër genoem, word verskeie tegnologieë gebruik om slegs wettige pos na te gaan en aan te stuur.
Teoretiese opleiding van personeel. Dit bestaan uit omvattende toetsing van personeel om potensiële slagoffers te identifiseer. Dan word hulle heropgelei en statistieke word voortdurend aangeteken.
Moenie vertrou en kyk nie
Vandag sal ons praat oor die tweede benadering om phishing-aanvalle te voorkom, naamlik outomatiese personeelopleiding om die algehele vlak van sekuriteit van korporatiewe en persoonlike data te verhoog. Hoekom kan dit so gevaarlik wees?
Sosiale ingenieurswese — sielkundige manipulasie van mense om sekere handelinge uit te voer of vertroulike inligting bekend te maak (met betrekking tot inligtingsekuriteit).
Diagram van 'n tipiese uitvissing-aanval-ontplooiingsscenario
Kom ons kyk na 'n prettige vloeidiagram wat die reis van 'n uitvissingsveldtog kortliks uiteensit. Dit het verskillende stadiums:
Insameling van primêre data.
In die 21ste eeu is dit moeilik om 'n persoon te vind wat nie op enige sosiale netwerk of op verskeie tematiese forums geregistreer is nie. Natuurlik laat baie van ons gedetailleerde inligting oor onsself: plek van huidige werk, groep vir kollegas, telefoon, pos, ens. Voeg hierby gepersonaliseerde inligting oor 'n persoon se belangstellings en jy het die data om 'n uitvissing-sjabloon te vorm. Selfs al kon ons nie mense met sulke inligting kry nie, is daar altyd 'n maatskappywebwerf waar ons al die inligting kan vind waarin ons belangstel (domein-e-pos, kontakte, verbindings).
Begin van die veldtog.
Sodra jy 'n springplank in plek het, kan jy gratis of betaalde nutsmiddels gebruik om jou eie geteikende uitvissing-veldtog te begin. Tydens die posproses sal jy statistieke versamel: pos afgelewer, pos oopgemaak, skakels wat geklik is, geloofsbriewe ingevoer, ens.
Produkte op die mark
Uitvissing kan deur sowel aanvallers as werknemers van maatskappyinligtingsekuriteit gebruik word om 'n deurlopende oudit van werknemergedrag uit te voer. Wat bied die mark van gratis en kommersiële oplossings vir die outomatiese opleidingstelsel vir maatskappywerknemers ons:
GoPhish is 'n oopbronprojek wat jou toelaat om 'n uitvissingsveldtog te ontplooi om die IT-geletterdheid van jou werknemers na te gaan. Ek sou die voordele beskou as gemak van ontplooiing en minimale stelselvereistes. Die nadele is die gebrek aan klaargemaakte possjablone, die gebrek aan toetse en opleidingsmateriaal vir personeel.
KnowBe4 — 'n webwerf met 'n groot aantal beskikbare produkte vir toetspersoneel.
Visman - outomatiese stelsel vir toetsing en opleiding van werknemers. Het verskeie weergawes van produkte wat van 10 tot meer as 1000 werknemers ondersteun. Die opleidingskursusse sluit teorie en praktiese opdragte in; dit is moontlik om behoeftes te identifiseer op grond van die statistieke verkry na 'n uitvissingsveldtog. Die oplossing is kommersieel met die moontlikheid van proefgebruik.
Anti-phishing - outomatiese opleiding en sekuriteitsmoniteringstelsel. Die kommersiële produk bied periodieke opleidingsaanvalle, opleiding van werknemers, ens. 'n Veldtog word aangebied as 'n demo-weergawe van die produk, wat die implementering van sjablone en die uitvoer van drie opleidingsaanvalle insluit.
Bogenoemde oplossings is slegs 'n deel van die beskikbare produkte op die outomatiese personeelopleidingsmark. Natuurlik het elkeen sy eie voordele en nadele. Vandag sal ons kennis maak met GoPhish, simuleer 'n uitvissing-aanval en verken die beskikbare opsies.
GoPhish
So, dit is tyd om te oefen. GoPhish is nie toevallig gekies nie: dit is 'n gebruikersvriendelike hulpmiddel met die volgende kenmerke:
Vereenvoudigde installasie en opstart.
REST API ondersteuning. Laat jou toe om navrae uit te skep dokumentasie en pas outomatiese skrifte toe.
Gerieflike grafiese beheerkoppelvlak.
Cross-platform.
Die ontwikkelingspan het 'n uitstekende voorberei Hyde oor die implementering en konfigurasie van GoPhish. Trouens, al wat jy hoef te doen is om na te gaan bewaarplek, laai die zip-argief vir die ooreenstemmende bedryfstelsel af, hardloop die interne binêre lêer, waarna die instrument geïnstalleer sal word.
BELANGRIKE NOTA!
As gevolg hiervan, moet u inligting oor die ontplooide portaal in die terminale ontvang, sowel as magtigingsdata (relevant vir weergawes ouer as weergawe 0.10.1). Moenie vergeet om 'n wagwoord vir jouself te beveilig nie!
msg="Please login with the username admin and the password <ПАРОЛЬ>"
Verstaan die GoPhish-opstelling
Na installasie sal 'n konfigurasielêer (config.json) in die toepassingsgids geskep word. Kom ons beskryf die parameters om dit te verander:
sleutel
Waarde (verstek)
Beskrywing
admin_server.listen_url
127.0.0.1:3333
GoPhish-bediener se IP-adres
admin_server.use_tls
valse
Word TLS gebruik om aan die GoPhish-bediener te koppel
admin_bediener.sert_pad
voorbeeld.crt
Pad na SSL-sertifikaat vir GoPhish-administrateurportaal
admin_bediener.sleutelpad
voorbeeld.sleutel
Pad na private SSL-sleutel
phish_server.listen_url
0.0.0.0:80
IP-adres en poort waar die uitvissingbladsy gehuisves word (by verstek word dit op die GoPhish-bediener self op poort 80 gehuisves)
—> Gaan na die bestuursportaal. In ons geval: https://127.0.0.1:3333
—> Jy sal gevra word om 'n redelik lang wagwoord na 'n eenvoudiger een te verander of omgekeerd.
Skep 'n senderprofiel
Gaan na die "Stuur profiele"-oortjie en verskaf inligting oor die gebruiker van wie ons pos sal afkomstig wees:
Waar:
Naam
Naam van die afsender
Van
Sender se e-pos
Host
IP-adres van die posbediener vanwaar inkomende pos geluister sal word.
Gebruikersnaam
E-posbediener gebruikersrekening aanmeld.
Wagwoord
Posbediener gebruiker rekening wagwoord.
Jy kan ook 'n toetsboodskap stuur om afleweringsukses te verseker. Stoor die instellings met die "Stoor profiel"-knoppie.
Die skep van 'n groep ontvangers
Vervolgens moet jy 'n groep "kettingbriewe"-ontvangers vorm. Gaan na "Gebruiker & Groepe" → "Nuwe Groep". Daar is twee maniere om by te voeg: handmatig of die invoer van 'n CSV-lêer.
Die tweede metode vereis die volgende vereiste velde:
Sodra ons die denkbeeldige aanvaller en potensiële slagoffers geïdentifiseer het, moet ons 'n sjabloon met 'n boodskap skep. Om dit te doen, gaan na die afdeling "E-possjablone" → "Nuwe sjablone".
Wanneer 'n sjabloon gevorm word, word 'n tegniese en kreatiewe benadering gebruik; 'n boodskap van die diens moet gespesifiseer word wat aan die slagoffergebruikers bekend sal wees of vir hulle 'n sekere reaksie sal veroorsaak. Moontlike opsies:
Naam
Sjabloonnaam
Onderwerp
Briefonderwerp
Teks/HTML
Veld vir die invoer van teks of HTML-kode
Gophish ondersteun die invoer van briewe, maar ons sal ons eie skep. Om dit te doen, simuleer ons 'n scenario: 'n maatskappygebruiker ontvang 'n brief waarin hy vra om die wagwoord van sy korporatiewe e-pos te verander. Kom ons ontleed dan sy reaksie en kyk na ons "vangs".
Ons sal ingeboude veranderlikes in die sjabloon gebruik. Meer besonderhede kan in bogenoemde gevind word gids artikel Sjabloonverwysing.
Kom ons laai eers die volgende teks:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
Gevolglik sal die gebruiker se naam outomaties ingevoer word (volgens die voorheen gespesifiseerde "Nuwe Groep" item) en sy posadres sal aangedui word.
Vervolgens moet ons 'n skakel na ons phishing-hulpbron verskaf. Om dit te doen, merk die woord "hier" in die teks en kies die "Skakel" opsie op die beheerpaneel.
Ons sal die URL na die ingeboude veranderlike {{.URL}} stel, wat ons later sal invul. Dit sal outomaties in die teks van die uitvissing-e-pos ingebed word.
Voordat u die sjabloon stoor, moet u nie vergeet om die opsie "Voeg spoorbeeld by" te aktiveer nie. Dit sal 'n 1x1 pixel media-element byvoeg wat sal naspoor of die gebruiker die e-pos oopgemaak het.
Dus, daar is nie veel oor nie, maar ons sal eers die vereiste stappe opsom nadat ons by die Gophish-portaal aangemeld het:
Skep 'n senderprofiel;
Skep 'n verspreidingsgroep waar jy gebruikers spesifiseer;
Skep 'n uitvissing-e-possjabloon.
Stem saam, die opstelling het nie veel tyd geneem nie en ons is amper gereed om ons veldtog te begin. Al wat oorbly is om 'n phishing-bladsy by te voeg.
Skep 'n phishing-bladsy
Gaan na die "Landing Pages"-oortjie.
Ons sal gevra word om die naam van die voorwerp te spesifiseer. Dit is moontlik om die bronwebwerf in te voer. In ons voorbeeld het ek probeer om die werkende webportaal van die posbediener te spesifiseer. Gevolglik is dit as HTML-kode ingevoer (hoewel nie heeltemal nie). Die volgende is interessante opsies om gebruikersinvoer vas te lê:
Vang ingedien data vas. As die gespesifiseerde werfbladsy verskeie invoervorms bevat, sal alle data aangeteken word.
Vang wagwoorde vas - vang ingevoerde wagwoorde vas. Data word na die GoPhish-databasis geskryf sonder enkripsie, soos dit is.
Boonop kan ons die "Redirect to"-opsie gebruik, wat die gebruiker na 'n gespesifiseerde bladsy sal herlei na die invoer van geloofsbriewe. Laat ek jou daaraan herinner dat ons 'n scenario gestel het waar die gebruiker gevra word om die wagwoord vir korporatiewe e-pos te verander. Om dit te doen, word hy 'n vals posmagtigingportaalbladsy aangebied, waarna die gebruiker na enige beskikbare maatskappyhulpbron gestuur kan word.
Moenie vergeet om die voltooide bladsy te stoor en na die "Nuwe veldtog"-afdeling te gaan nie.
Begin van GoPhish-visvang
Ons het al die nodige inligting verskaf. Skep 'n nuwe veldtog in die "Nuwe veldtog"-oortjie.
Begin 'n veldtog
Waar:
Naam
Veldtog naam
E-pos sjabloon
Boodskap sjabloon
Landing Page
Uitvissing bladsy
URL
IP van jou GoPhish-bediener (moet netwerk bereikbaarheid met die slagoffer se gasheer hê)
Begin Datum
Veldtog begin datum
Stuur e-pos deur
Veldtog se einddatum (pos eweredig versprei)
Stuur profiel
Sender profiel
groepe
Posontvangergroep
Na die begin kan ons altyd kennis maak met die statistieke, wat aandui: gestuurde boodskappe, oopgemaakte boodskappe, klik op skakels, links data oorgedra na strooipos.
Uit die statistieke sien ons dat 1 boodskap gestuur is, kom ons kyk na die pos van die ontvanger se kant af:
Inderdaad, die slagoffer het suksesvol 'n uitvissing-e-pos ontvang waarin hy gevra word om 'n skakel te volg om sy korporatiewe rekeningwagwoord te verander. Ons voer die gevraagde aksies uit, ons word na die Landing Pages gestuur, wat van die statistieke?
Gevolglik het ons gebruiker op 'n phishing-skakel geklik, waar hy moontlik sy rekeninginligting kan verlaat.
Skrywer se nota: die data-invoerproses is nie aangeteken nie as gevolg van die gebruik van 'n toetsuitleg, maar so 'n opsie bestaan. Die inhoud is egter nie geïnkripteer nie en word in die GoPhish-databasis gestoor, hou dit asseblief in gedagte.
In plaas daarvan om 'n gevolgtrekking
Vandag het ons die huidige onderwerp aangeroer om geoutomatiseerde opleiding vir werknemers te doen om hulle teen uitvissing-aanvalle te beskerm en IT-geletterdheid in hulle te ontwikkel. Gophish is as 'n bekostigbare oplossing ontplooi, wat goeie resultate getoon het in terme van ontplooiingstyd en -resultaat. Met hierdie toeganklike hulpmiddel kan jy jou werknemers oudit en verslae oor hul gedrag genereer. As jy belangstel in hierdie produk, bied ons hulp om dit te ontplooi en jou werknemers te oudit ([e-pos beskerm]).
Ons gaan egter nie ophou om een oplossing te hersien nie en beplan om die siklus voort te sit, waar ons sal praat oor ondernemingsoplossings vir die outomatisering van die opleidingsproses en die monitering van werknemerssekuriteit. Bly by ons en wees waaksaam!