اليوم، يقضي مسؤول الشبكة أو مهندس أمن المعلومات الكثير من الوقت والجهد لحماية محيط شبكة المؤسسة من التهديدات المختلفة، وإتقان أنظمة جديدة لمنع الأحداث ومراقبتها، ولكن حتى هذا لا يضمن الأمان الكامل. يتم استخدام الهندسة الاجتماعية بشكل نشط من قبل المهاجمين ويمكن أن يكون لها عواقب وخيمة.
كم مرة وجدت نفسك تفكر: "سيكون من الجيد ترتيب اختبار للموظفين حول المعرفة بأمن المعلومات"؟ لسوء الحظ، تصطدم الأفكار بجدار من سوء الفهم في شكل عدد كبير من المهام أو وقت محدود في يوم العمل. نخطط لإخبارك عن المنتجات والتقنيات الحديثة في مجال أتمتة تدريب الموظفين، والتي لن تتطلب تدريبًا طويلًا للتجربة أو التنفيذ، ولكن عن كل شيء بالترتيب.
الأساس النظري
واليوم، يتم توزيع أكثر من 80% من الملفات الضارة عبر البريد الإلكتروني (البيانات مأخوذة من تقارير متخصصي Check Point خلال العام الماضي باستخدام خدمة Intelligence Reports).
تقرير لآخر 30 يومًا عن ناقل الهجوم لتوزيع الملفات الضارة (روسيا) - Check Point
يشير هذا إلى أن المحتوى الموجود في رسائل البريد الإلكتروني معرض تمامًا للاستغلال من قبل المهاجمين. إذا نظرنا إلى تنسيقات الملفات الضارة الأكثر شيوعًا في المرفقات (EXE، RTF، DOC)، تجدر الإشارة إلى أنها، كقاعدة عامة، تحتوي على عناصر تلقائية لتنفيذ التعليمات البرمجية (البرامج النصية، وحدات الماكرو).
التقرير السنوي عن تنسيقات الملفات في الرسائل الضارة المستلمة - Check Point
كيفية التعامل مع ناقل الهجوم هذا؟ يتضمن فحص البريد استخدام أدوات الأمان:
-
Antivirus - كشف التوقيع عن التهديدات.
-
محاكاة - صندوق رمل يتم من خلاله فتح المرفقات في بيئة معزولة.
-
الوعي بالمحتوى - استخراج العناصر النشطة من المستندات. يتلقى المستخدم مستندًا نظيفًا (عادةً بتنسيق PDF).
-
مكافحة البريد المزعج - التحقق من مجال المستلم/المرسل بحثًا عن السمعة.
ومن الناحية النظرية، هذا يكفي، ولكن هناك مورد آخر لا يقل قيمة للشركة - بيانات الشركات والشخصية للموظفين. في السنوات الأخيرة، تزايدت شعبية النوع التالي من الاحتيال عبر الإنترنت بشكل نشط:
التصيد (التصيد الاحتيالي باللغة الإنجليزية، من الصيد - صيد الأسماك، صيد الأسماك) - نوع من الاحتيال عبر الإنترنت. والغرض منه هو الحصول على بيانات تعريف المستخدم. ويشمل ذلك سرقة كلمات المرور وأرقام بطاقات الائتمان والحسابات المصرفية وغيرها من المعلومات الحساسة.
يعمل المهاجمون على تحسين أساليب هجمات التصيد الاحتيالي، وإعادة توجيه طلبات DNS من المواقع الشهيرة، وإطلاق حملات كاملة باستخدام الهندسة الاجتماعية لإرسال رسائل البريد الإلكتروني.
وبالتالي، لحماية البريد الإلكتروني لشركتك من التصيد الاحتيالي، يوصى باستخدام طريقتين، ويؤدي استخدامهما المشترك إلى أفضل النتائج:
-
أدوات الحماية التقنية. كما ذكرنا سابقًا، يتم استخدام تقنيات مختلفة لفحص البريد الشرعي وإعادة توجيهه فقط.
-
التدريب النظري للموظفين. وهو يتألف من اختبار شامل للموظفين لتحديد الضحايا المحتملين. ثم يتم إعادة تدريبهم وتسجيل الإحصائيات باستمرار.
لا تثق وتحقق
سنتحدث اليوم عن النهج الثاني لمنع هجمات التصيد الاحتيالي، وهو التدريب الآلي للموظفين من أجل زيادة المستوى العام لأمان بيانات الشركة والبيانات الشخصية. لماذا يمكن أن يكون هذا خطيرا جدا؟
هندسة اجتماعية — التلاعب النفسي بالأشخاص من أجل القيام بأعمال معينة أو الكشف عن معلومات سرية (فيما يتعلق بأمن المعلومات).
رسم تخطيطي لسيناريو نشر هجوم التصيد الاحتيالي النموذجي
دعونا نلقي نظرة على مخطط انسيابي ممتع يوضح بإيجاز رحلة حملة التصيد الاحتيالي. لها مراحل مختلفة:
-
جمع البيانات الأولية.
في القرن الحادي والعشرين، من الصعب العثور على شخص غير مسجل في أي شبكة اجتماعية أو في مختلف المنتديات المواضيعية. بطبيعة الحال، يترك الكثير منا معلومات مفصلة عن أنفسنا: مكان العمل الحالي، مجموعة الزملاء، الهاتف، البريد، إلخ. أضف إلى هذه المعلومات الشخصية حول اهتمامات الشخص وسيكون لديك البيانات اللازمة لتشكيل قالب التصيد. حتى لو لم نتمكن من العثور على أشخاص لديهم مثل هذه المعلومات، فهناك دائمًا موقع ويب للشركة حيث يمكننا العثور على جميع المعلومات التي نهتم بها (البريد الإلكتروني للمجال وجهات الاتصال والاتصالات).
-
إطلاق الحملة.
بمجرد أن يكون لديك نقطة انطلاق، يمكنك استخدام الأدوات المجانية أو المدفوعة لإطلاق حملة التصيد الاحتيالي المستهدفة الخاصة بك. أثناء عملية إرسال البريد، ستجمع الإحصائيات: البريد الذي تم تسليمه، والبريد المفتوح، والروابط التي تم النقر عليها، وبيانات الاعتماد التي تم إدخالها، وما إلى ذلك.
المنتجات في السوق
يمكن استخدام التصيد الاحتيالي من قبل كل من المهاجمين وموظفي أمن معلومات الشركة من أجل إجراء تدقيق مستمر لسلوك الموظف. ماذا يقدم لنا سوق الحلول المجانية والتجارية لنظام التدريب الآلي لموظفي الشركة:
-
هو مشروع مفتوح المصدر يسمح لك بنشر حملة تصيد للتحقق من معرفة موظفيك بتكنولوجيا المعلومات. سأعتبر أن المزايا هي سهولة النشر والحد الأدنى من متطلبات النظام. وتتمثل العيوب في عدم وجود قوالب بريدية جاهزة، ونقص الاختبارات والمواد التدريبية للموظفين.
-
- موقع يحتوي على عدد كبير من المنتجات المتاحة لموظفي الاختبار.
-
- النظام الآلي لاختبار وتدريب الموظفين. لديها إصدارات مختلفة من المنتجات التي تدعم من 10 إلى أكثر من 1000 موظف. تتضمن الدورات التدريبية مهام نظرية وعملية، ومن الممكن تحديد الاحتياجات بناءً على الإحصائيات التي تم الحصول عليها بعد حملة التصيد الاحتيالي. الحل تجاري مع إمكانية الاستخدام التجريبي.
-
— التدريب الآلي ونظام مراقبة الأمن. يقدم المنتج التجاري هجمات تدريبية دورية، وتدريب الموظفين، وما إلى ذلك. يتم تقديم الحملة كإصدار تجريبي للمنتج، والذي يتضمن نشر النماذج وإجراء ثلاث هجمات تدريبية.
الحلول المذكورة أعلاه ليست سوى جزء من المنتجات المتاحة في السوق لتدريب الموظفين الآلي. وبطبيعة الحال، لكل منها مزاياه وعيوبه. اليوم سوف نتعرف على ، ومحاكاة هجوم التصيد الاحتيالي، واستكشاف الخيارات المتاحة.
GoPhish
لذا، حان الوقت للممارسة. لم يتم اختيار GoPhish عن طريق الصدفة: فهي أداة سهلة الاستخدام تحتوي على الميزات التالية:
-
تبسيط التثبيت وبدء التشغيل.
-
دعم REST API. يسمح لك بإنشاء استعلامات من وتطبيق البرامج النصية الآلية.
-
واجهة تحكم رسومية مريحة.
-
عبر منصة.
قام فريق التطوير بإعداد ممتاز على نشر وتكوين GoPhish. في الواقع، كل ما عليك فعله هو الذهاب إلى ، قم بتنزيل أرشيف ZIP لنظام التشغيل المقابل، وقم بتشغيل الملف الثنائي الداخلي، وبعد ذلك سيتم تثبيت الأداة.
ملاحظة هامة!
ونتيجة لذلك، يجب أن تتلقى في المحطة معلومات حول البوابة المنشورة، بالإضافة إلى بيانات الترخيص (ذات الصلة بالإصدارات الأقدم من الإصدار 0.10.1). لا تنس تأمين كلمة المرور لنفسك!
msg="Please login with the username admin and the password <ПАРОЛЬ>"فهم إعداد GoPhish
بعد التثبيت، سيتم إنشاء ملف التكوين (config.json) في دليل التطبيق. دعونا نصف المعلمات لتغييره:
مفتاح
القيمة (الافتراضية)
وصف
admin_server.listen_url
127.0.0.1:3333
عنوان IP لخادم GoPhish
admin_server.use_tls
زائف
هل يتم استخدام TLS للاتصال بخادم GoPhish
admin_server.cert_path
example.crt
المسار إلى شهادة SSL لبوابة إدارة GoPhish
admin_server.key_path
example.key
المسار إلى مفتاح SSL الخاص
phish_server.listen_url
0.0.0.0:80
عنوان IP والمنفذ الذي تتم فيه استضافة صفحة التصيد (افتراضيًا تتم استضافتها على خادم GoPhish نفسه على المنفذ 80)
—> انتقل إلى بوابة الإدارة. في حالتنا هذه: https://127.0.0.1:3333
—> سيُطلب منك تغيير كلمة مرور طويلة إلى حد ما إلى كلمة مرور أبسط أو العكس.
إنشاء ملف تعريف المرسل
انتقل إلى علامة التبويب "إرسال الملفات الشخصية" وقدم معلومات حول المستخدم الذي ستصدر منه رسائلنا البريدية:
حيث:
الاسم
اسم المرسل
من
البريد الإلكتروني للمرسل
مضيف
عنوان IP لخادم البريد الذي سيتم الاستماع إلى البريد الوارد منه.
اسم المستخدم
تسجيل الدخول إلى حساب مستخدم خادم البريد.
كلمة المرور
كلمة مرور حساب مستخدم خادم البريد.
يمكنك أيضًا إرسال رسالة اختبارية للتأكد من نجاح التسليم. احفظ الإعدادات باستخدام زر "حفظ الملف الشخصي".
إنشاء مجموعة من المستلمين
بعد ذلك، يجب عليك تشكيل مجموعة من مستلمي "الرسائل المتسلسلة". انتقل إلى "المستخدمون والمجموعات" ← "مجموعة جديدة". هناك طريقتان للإضافة: يدويًا أو استيراد ملف CSV.
تتطلب الطريقة الثانية الحقول المطلوبة التالية:
-
الاسم الأول
-
اسم العائلة
-
البريد إلكتروني:
-
الموقع الحالي
وكمثال على ذلك:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]إنشاء قالب بريد إلكتروني للتصيد الاحتيالي
بمجرد أن نحدد المهاجم الوهمي والضحايا المحتملين، نحتاج إلى إنشاء نموذج يحتوي على رسالة. للقيام بذلك، انتقل إلى قسم "قوالب البريد الإلكتروني" ← "القوالب الجديدة".
عند تشكيل القالب، يتم استخدام أسلوب تقني وإبداعي، حيث يجب تحديد رسالة من الخدمة تكون مألوفة للمستخدمين الضحية أو ستسبب لهم رد فعل معين. الخيارات الممكنة:
الاسم
اسم القالب
الموضوع
موضوع الرسالة
نص/أتش تي أم أل
حقل لإدخال النص أو كود HTML
يدعم Gophish استيراد الحروف، ولكننا سنقوم بإنشاء الحروف الخاصة بنا. للقيام بذلك، نقوم بمحاكاة السيناريو: يتلقى مستخدم الشركة رسالة تطلب منه تغيير كلمة المرور من البريد الإلكتروني الخاص بالشركة. بعد ذلك، دعونا نحلل رد فعله وننظر إلى "صيدنا".
سوف نستخدم المتغيرات المضمنة في القالب. مزيد من التفاصيل يمكن العثور عليها في ما سبق قسم .
لنقم أولاً بتحميل النص التالي:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Teamوبناءً على ذلك، سيتم إدخال اسم المستخدم تلقائيًا (حسب بند "المجموعة الجديدة" المحدد مسبقًا) وسيتم الإشارة إلى عنوانه البريدي.
بعد ذلك، يجب علينا توفير رابط لمورد التصيد الاحتيالي الخاص بنا. للقيام بذلك، قم بتمييز كلمة "هنا" في النص وحدد خيار "رابط" في لوحة التحكم.
سنقوم بتعيين عنوان URL للمتغير المدمج {{.URL}}، والذي سنقوم بملئه لاحقًا. سيتم تضمينه تلقائيًا في نص رسالة البريد الإلكتروني التصيدية.
قبل حفظ القالب، لا تنس تفعيل خيار "إضافة صورة التتبع". سيؤدي هذا إلى إضافة عنصر وسائط بحجم 1 × 1 بكسل يتتبع ما إذا كان المستخدم قد فتح البريد الإلكتروني.
إذن، لم يبق الكثير، ولكن أولاً سنلخص الخطوات المطلوبة بعد تسجيل الدخول إلى بوابة غوفيش:
-
إنشاء ملف تعريف المرسل؛
-
إنشاء مجموعة توزيع تحدد فيها المستخدمين؛
-
إنشاء قالب بريد إلكتروني للتصيد الاحتيالي.
أوافق على أن الإعداد لم يستغرق الكثير من الوقت ونحن على استعداد تقريبًا لإطلاق حملتنا. كل ما تبقى هو إضافة صفحة التصيد.
إنشاء صفحة التصيد
انتقل إلى علامة التبويب "الصفحات المقصودة".
سيُطلب منا تحديد اسم الكائن. من الممكن استيراد الموقع المصدر. في مثالنا، حاولت تحديد بوابة الويب العاملة لخادم البريد. وبناءً على ذلك، تم استيراده كرمز HTML (وإن لم يكن بالكامل). فيما يلي خيارات مثيرة للاهتمام لالتقاط مدخلات المستخدم:
-
التقاط البيانات المقدمة. إذا كانت صفحة الموقع المحددة تحتوي على نماذج إدخال مختلفة، فسيتم تسجيل جميع البيانات.
-
التقاط كلمات المرور - التقاط كلمات المرور المدخلة. تتم كتابة البيانات إلى قاعدة بيانات GoPhish بدون تشفير، كما هي.
بالإضافة إلى ذلك، يمكننا استخدام خيار "إعادة التوجيه إلى"، والذي سيعيد توجيه المستخدم إلى صفحة محددة بعد إدخال بيانات الاعتماد. اسمحوا لي أن أذكركم بأننا وضعنا سيناريو حيث يُطلب من المستخدم تغيير كلمة المرور للبريد الإلكتروني للشركة. للقيام بذلك، يتم عرض صفحة بوابة ترخيص البريد المزيف، وبعد ذلك يمكن إرسال المستخدم إلى أي مورد متاح للشركة.
لا تنس حفظ الصفحة المكتملة والانتقال إلى قسم "الحملة الجديدة".
إطلاق GoPhish لصيد الأسماك
لقد قدمنا كافة المعلومات اللازمة. في علامة التبويب "حملة جديدة"، أنشئ حملة جديدة.
اطلاق حملة
حيث:
الاسم
اسم الحملة
قالب البريد الإلكتروني
قالب الرسالة
الصفحة المقصودة
صفحة التصيد
URL
عنوان IP لخادم GoPhish الخاص بك (يجب أن يتمتع بإمكانية الوصول إلى الشبكة مع مضيف الضحية)
إطلاق تاريخ
تاريخ بدء الحملة
إرسال رسائل البريد الإلكتروني بواسطة
تاريخ انتهاء الحملة (يتم توزيع البريد بالتساوي)
إرسال الملف الشخصي
الملف الشخصي للمرسل
المجموعة
مجموعة مستلمي البريد
بعد البدء، يمكننا دائمًا التعرف على الإحصائيات التي تشير إلى: الرسائل المرسلة، والرسائل المفتوحة، والنقرات على الروابط، ونقل البيانات المتبقية إلى البريد العشوائي.
من الإحصائيات نرى أنه تم إرسال رسالة واحدة، فلنتحقق من البريد من جهة المستلم:
في الواقع، تلقى الضحية بنجاح رسالة بريد إلكتروني تصيدية تطلب منه اتباع رابط لتغيير كلمة مرور حساب الشركة الخاص به. نقوم بتنفيذ الإجراءات المطلوبة، ويتم إرسالنا إلى صفحات الهبوط، ماذا عن الإحصائيات؟
ونتيجة لذلك، قام المستخدم بالنقر فوق رابط التصيد الاحتيالي، حيث من المحتمل أن يترك معلومات حسابه.
مفكرة: لم يتم تسجيل عملية إدخال البيانات بسبب استخدام تخطيط الاختبار، ولكن مثل هذا الخيار موجود. ومع ذلك، فإن المحتوى غير مشفر ويتم تخزينه في قاعدة بيانات GoPhish، يرجى أخذ ذلك في الاعتبار.
بدلا من خاتمة
تطرقنا اليوم إلى الموضوع الحالي وهو إجراء تدريب آلي للموظفين من أجل حمايتهم من هجمات التصيد الاحتيالي وتطوير المعرفة بتكنولوجيا المعلومات لديهم. تم نشر Gophish كحل ميسور التكلفة، والذي أظهر نتائج جيدة من حيث وقت النشر والنتيجة. باستخدام هذه الأداة التي يمكن الوصول إليها، يمكنك تدقيق موظفيك وإنشاء تقارير عن سلوكهم. إذا كنت مهتمًا بهذا المنتج، فنحن نقدم لك المساعدة في نشره ومراجعة موظفيك ([البريد الإلكتروني محمي]).
ومع ذلك، لن نتوقف عند مراجعة حل واحد ونخطط لمواصلة الدورة، حيث سنتحدث عن حلول المؤسسات لأتمتة عملية التدريب ومراقبة أمان الموظفين. ابقوا معنا وكونوا يقظين!
المصدر: www.habr.com