Bu gün bir şəbəkə inzibatçısı və ya informasiya təhlükəsizliyi mühəndisi müəssisə şəbəkəsinin perimetrini müxtəlif təhlükələrdən qorumaq üçün çox vaxt və səy sərf edir, hadisələrin qarşısının alınması və monitorinqi üçün yeni sistemləri mənimsəyir, lakin bu da onun tam təhlükəsizliyinə zəmanət vermir. Sosial mühəndislik təcavüzkarlar tərəfindən fəal şəkildə istifadə olunur və ciddi nəticələrə səbəb ola bilər.
Özünüzü nə qədər tez-tez fikirləşirsiniz: "İnformasiya təhlükəsizliyi sahəsində savadlılıq üçün işçilərin yoxlanılması yaxşı olardı"? Təəssüf ki, fikirlər çox sayda tapşırıq və ya iş gününün məhdud vaxtı şəklində anlaşılmazlıq divarına çevrilir. Biz sizə kadr hazırlığının avtomatlaşdırılması sahəsində müasir məhsullar və texnologiyalar haqqında məlumat verməyi planlaşdırırıq ki, bu da sınaq və ya tətbiq üçün uzun hazırlıq tələb etməyəcək, ilk növbədə ilk şeydir.
Nəzəri əsas
Bu gün zərərli faylların 80%-dən çoxu poçt vasitəsilə paylanır (məlumatlar “Intelligence Reports” xidmətindən istifadə etməklə, Check Point ekspertlərinin son bir ildəki hesabatlarından götürülmüşdür).
Zərərli Fayl Hücumlarının Vektor Hesabatı (Rusiya) - Yoxlama Nöqtəsi
Bu, e-poçt mesajlarındakı məzmunun təcavüzkarlar tərəfindən istismar oluna biləcək qədər həssas olduğunu göstərir. Əlavələrdəki (EXE, RTF, DOC) ən populyar zərərli fayl formatlarını nəzərdən keçirsək, onda qeyd etmək lazımdır ki, onlar adətən avtomatik kod icra elementlərini (skriptlər, makrolar) ehtiva edirlər.
Alınan Zərərli Mesajlarda Fayl Formatları üzrə İllik Hesabat - Yoxlama Nöqtəsi
Bu hücum vektoru ilə necə məşğul olmaq olar? Poçtu yoxlamaq təhlükəsizlik vasitələrindən istifadə edir:
-
antivirus — Təhdidlərin imza aşkarlanması.
-
yarış - qoşmaların təcrid olunmuş mühitdə açıldığı qum qutusu.
-
Məzmun məlumatlılığı — sənədlərdən aktiv elementlərin çıxarılması. İstifadəçi təmizlənmiş sənəd alır (adətən PDF formatında).
-
AntiSpam - reputasiya üçün alıcının / göndərənin domeninin yoxlanılması.
Və nəzəri olaraq, bu kifayətdir, lakin şirkət üçün eyni dərəcədə dəyərli başqa bir resurs var - işçilərin korporativ və şəxsi məlumatları. Son illərdə İnternet fırıldaqçılığının aşağıdakı növlərinin populyarlığı fəal şəkildə artır:
Phishing (ingiliscə fişinq, balıqçılıqdan - balıq ovu, balıqçılıq) - İnternet saxtakarlığının bir növü. Onun məqsədi istifadəçi identifikasiyası məlumatlarını əldə etməkdir. Bura parolların, kredit kartı nömrələrinin, bank hesablarının və digər həssas məlumatların oğurlanması daxildir.
Hücumçular fişinq hücumlarını təkmilləşdirir, məşhur saytlardan DNS sorğularını yönləndirir və e-poçt göndərmək üçün sosial mühəndislikdən istifadə edərək bütün kampaniyaları yerləşdirir.
Beləliklə, korporativ e-poçtunuzu fişinqdən qorumaq üçün iki yanaşma tövsiyə olunur və onlardan birlikdə istifadə etmək ən yaxşı nəticələrə gətirib çıxarır:
-
Texniki mühafizə vasitələri. Daha əvvəl qeyd edildiyi kimi, yalnız qanuni poçtu yoxlamaq və yönləndirmək üçün müxtəlif texnologiyalardan istifadə olunur.
-
Kadrların nəzəri hazırlığı. O, potensial qurbanları müəyyən etmək üçün heyətin hərtərəfli sınaqdan keçirilməsindən ibarətdir. Bundan əlavə, onlar yenidən hazırlanır, statistika daim qeyd olunur.
Güvənməyin və təsdiq etməyin
Bu gün biz fişinq hücumlarının qarşısının alınması üçün ikinci yanaşma, yəni korporativ və şəxsi məlumatların təhlükəsizliyinin ümumi səviyyəsini artırmaq üçün kadrların avtomatlaşdırılmış təlimi haqqında danışacağıq. Niyə bu qədər təhlükəli ola bilər?
sosial mühəndislik - müəyyən hərəkətlər etmək və ya məxfi məlumatı açıqlamaq məqsədilə insanların psixoloji manipulyasiyası (informasiya təhlükəsizliyi ilə bağlı).
Tipik fişinq hücumunun yerləşdirilməsi ssenarisinin diaqramı
Gəlin, fişinq kampaniyasını təşviq etmək yolunu qısaca təsvir edən əyləncəli cədvələ nəzər salaq. Onun müxtəlif mərhələləri var:
-
İlkin məlumatların toplanması.
21-ci əsrdə heç bir sosial şəbəkədə və ya müxtəlif tematik forumlarda qeydiyyatdan keçməmiş bir insan tapmaq çətindir. Təbii ki, bir çoxumuz özümüz haqqında ətraflı məlumat buraxırıq: cari iş yeri, həmkarlar üçün qrup, telefon, poçt və s. Həmin şəxsin maraqları haqqında fərdiləşdirilmiş məlumatı əlavə edin və fişinq şablonu yaratmaq üçün məlumatınız var. Bu cür məlumatlara sahib insanları tapmaq mümkün olmasa da, həmişə bizi maraqlandıran bütün məlumatları (domen poçtu, kontaktlar, əlaqələr) tapa biləcəyiniz bir şirkətin veb saytı var.
-
Kampaniyanın başlanması.
Dayanacaq qurulduqdan sonra siz pulsuz və ya pullu alətlərdən istifadə edərək öz hədəflənmiş fişinq kampaniyanızı başlada bilərsiniz. E-poçt siyahısı zamanı siz statistika toplayacaqsınız: çatdırılmış poçt, açıq poçt, keçidlərə klikləmək, etimadnamələri daxil etmək və s.
Bazarda olan məhsullar
Fişinq həm kibercinayətkarlar, həm də şirkətin informasiya təhlükəsizliyinin əməkdaşları tərəfindən işçilərin davranışlarının davamlı auditini aparmaq üçün istifadə edilə bilər. Bazar şirkət işçiləri üçün avtomatlaşdırılmış təlim sistemi üçün pulsuz və kommersiya həlləri üçün bizə nə təklif edir:
-
əməkdaşlarınızın İT savadlılığını yoxlamaq üçün sizə fişinq şirkətini yerləşdirməyə imkan verən açıq mənbəli layihədir. Üstünlüklərə yerləşdirmə asanlığı və minimum sistem tələbləri daxildir. Dezavantajlar hazır poçt şablonlarının olmaması, işçilər üçün testlərin və təlim materiallarının olmamasıdır.
-
— kadrların yoxlanılması üçün çoxlu sayda mövcud məhsula malik platforma.
-
— işçilərin sınaqdan keçirilməsi və təlimi üçün avtomatlaşdırılmış sistem. 10-dan 1000-dən çox işçini dəstəkləyən məhsulların müxtəlif versiyaları var. Təlim kurslarına nəzəri və praktiki tapşırıqlar daxildir, fişinq kampaniyasından sonra əldə edilən statistik məlumatlar əsasında ehtiyacları müəyyən etmək mümkündür. Həll sınaq istifadəsi imkanı ilə kommersiya xarakteri daşıyır.
-
— avtomatlaşdırılmış təlim və mühafizəyə nəzarət sistemi. Kommersiya məhsulu vaxtaşırı saxta hücumlar, işçilərin təlimi və s. Məhsulun demo versiyası olaraq, şablonların yerləşdirilməsi və üç təlim hücumunun həyata keçirilməsini əhatə edən bir kampaniya təklif olunur.
Yuxarıda göstərilən həllər avtomatlaşdırılmış kadr hazırlığı bazarında mövcud məhsulların yalnız bir hissəsidir. Əlbəttə ki, hər birinin öz üstünlükləri və mənfi cəhətləri var. Bu gün tanış olacağıq , fişinq hücumunu simulyasiya edin, mövcud variantları araşdırın.
GoPhish
Beləliklə, məşq vaxtıdır. GoPhish təsadüfən seçilməyib: bu, aşağıdakı xüsusiyyətlərə malik istifadəçi dostu bir vasitədir:
-
Sadələşdirilmiş quraşdırma və işə salma.
-
REST API dəstəyi. -dən sorğular yaratmağa imkan verir və avtomatlaşdırılmış skriptləri tətbiq edin.
-
Rahat qrafik istifadəçi interfeysi.
-
Çarpaz platforma.
İnkişaf qrupu əla hazırladı GoPhish-in yerləşdirilməsi və konfiqurasiyası haqqında. Əslində, yalnız getmək lazımdır , müvafiq OS üçün ZIP arxivini yükləyin, daxili ikili faylı işə salın, bundan sonra alət quraşdırılacaq.
Vacib QEYD!
Nəticədə, siz terminalda yerləşdirilmiş portal haqqında məlumat, həmçinin avtorizasiya üçün məlumat almalısınız (0.10.1 versiyasından köhnə versiyalar üçün uyğundur). Parolunuzu yadda saxlamağı unutmayın!
msg="Please login with the username admin and the password <ПАРОЛЬ>"GoPhish quraşdırmasını başa düşmək
Quraşdırıldıqdan sonra proqram kataloqunda konfiqurasiya faylı (config.json) yaradılacaq. Onu dəyişdirmək üçün parametrləri təsvir edək:
Açar
Dəyər (defolt)
Təsvir
admin_server.listen_url
127.0.0.1:3333
GoPhish serverinin IP ünvanı
admin_server.use_tls
saxta
TLS GoPhish serverinə qoşulmaq üçün istifadə olunur
admin_server.cert_path
misal.crt
GoPhish Admin Portal üçün SSL sertifikatına gedən yol
admin_server.key_path
misal.açar
Şəxsi SSL açarına yol
phish_server.listen_url
0.0.0.0:80
IP ünvanını və portunu yerləşdirən fişinq səhifəsi (standart olaraq GoPhish serverində 80-ci portda yerləşdirilir)
-> İdarəetmə portalına keçin. Bizim vəziyyətimizdə: https://127.0.0.1:3333
-> Sizdən kifayət qədər uzun parolu daha sadə və ya əksinə dəyişmək təklif olunacaq.
Göndərən profilinin yaradılması
"Profillərin göndərilməsi" sekmesine keçin və poçtumuzun göndəriləcəyi istifadəçi haqqında məlumatları göstərin:
Harada:
ad
Göndərən adı
saata
Göndərənin poçtu
sahib
Daxil olan məktubların dinləniləcəyi poçt serverinin IP ünvanı.
İstifadəçi adı
Poçt serverinin istifadəçi hesabına giriş.
parol
Poçt serveri istifadəçi hesabı üçün parol.
Çatdırılmanın uğurlu olduğuna əmin olmaq üçün siz həmçinin sınaq mesajı göndərə bilərsiniz. "Profili saxla" düyməsini istifadə edərək parametrləri qeyd edin.
Təyinat qrupu yaradın
Sonra, "xoşbəxtlik məktubları" alan bir qrup yaratmalısınız. “İstifadəçi və Qruplar” → “Yeni Qrup”a keçin. Əlavə etməyin iki yolu var: əl ilə və ya CSV faylını idxal etmək.
İkinci üsul tələb olunan sahələrin olmasını tələb edir:
-
Ad
-
Soyad
-
mina
-
mövqe
Nümunə olaraq:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Fişinq e-poçt şablonu yaradın
Xəyali təcavüzkarı və potensial qurbanları müəyyən etdikdən sonra mesaj şablonu yaratmalıyıq. Bunu etmək üçün “E-poçt Şablonları” → “Yeni Şablonlar” bölməsinə keçin.
Şablon formalaşdırarkən, texniki və yaradıcı bir yanaşma istifadə olunur, xidmətdən zərərçəkmiş istifadəçilərə tanış olacaq və ya müəyyən reaksiyaya səbəb olacaq bir mesaj göstərməlisiniz. Mümkün variantlar:
ad
Şablon adı
mövzu
Məktub mövzusu
Mətn/HTML
Mətn və ya HTML kodunu daxil etmək üçün sahə
Gophish e-poçt idxalını dəstəkləyir, lakin biz öz e-poçtumuzu yaradacağıq. Bunun üçün biz ssenarini simulyasiya edirik: şirkət istifadəçisi korporativ poçtundan parolun dəyişdirilməsi təklifi ilə məktub alır. Sonra onun reaksiyasını təhlil edirik və "tutmamıza" baxırıq.
Şablonda daxili dəyişənlərdən istifadə edəcəyik. Daha ətraflı məlumatı yuxarıda tapa bilərsiniz bölmə .
Əvvəlcə aşağıdakı mətni yükləyək:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamMüvafiq olaraq, istifadəçi adı avtomatik olaraq dəyişdiriləcək (əvvəllər təyin edilmiş “Yeni Qrup” bəndinə uyğun olaraq) və onun poçt ünvanı göstəriləcəkdir.
Sonra, fişinq resursumuza keçid təqdim etməliyik. Bunu etmək üçün mətndə "burada" sözünü seçin və idarəetmə panelində "Bağlantı" seçimini seçin.
URL olaraq biz daha sonra dolduracağımız daxili dəyişən {{.URL}} təyin edəcəyik. O, avtomatik olaraq fişinq e-poçtunun mətninə daxil ediləcək.
Şablonu saxlamazdan əvvəl "İzləmə şəklini əlavə et" seçimini aktiv etməyi unutmayın. Bu, istifadəçinin e-poçtu açmasını izləyəcək 1x1 piksel media elementi əlavə edəcək.
Beləliklə, çox şey qalmadı, amma əvvəlcə Gophish portalında avtorizasiyadan sonra tələb olunan addımları ümumiləşdiririk:
-
Göndərən profili yaradın;
-
İstifadəçiləri müəyyən etmək üçün paylama qrupu yaradın;
-
Fişinq e-poçt şablonu yaradın.
Razılaşın, quraşdırma çox vaxt çəkmədi və biz kampaniyamızı başlamağa demək olar ki, hazırıq. Fişinq səhifəsi əlavə etmək qalır.
Fişinq səhifəsinin yaradılması
"Açılış Səhifələri" sekmesine keçin.
Bizdən obyektin adını göstərməyimiz istəniləcək. Mənbə saytını idxal etmək mümkündür. Bizim nümunəmizdə işləyən poçt serveri veb portalını göstərməyə çalışdım. Müvafiq olaraq, HTML kodu kimi idxal edildi (tamamilə olmasa da). Aşağıdakılar istifadəçi girişini ələ keçirmək üçün maraqlı seçimlərdir:
-
Təqdim edilmiş məlumatı çəkin. Göstərilən sayt səhifəsində müxtəlif giriş formaları varsa, bütün məlumatlar qeyd olunacaq.
-
Capture Passwords - daxil edilmiş parolları ələ keçirin. Məlumatlar olduğu kimi şifrələmədən GoPhish verilənlər bazasına yazılır.
Əlavə olaraq, biz etimadnamələri daxil etdikdən sonra istifadəçini göstərilən səhifəyə yönləndirəcək “Yönləndirin” seçimindən istifadə edə bilərik. Nəzərinizə çatdırım ki, istifadəçidən korporativ poçt üçün parolun dəyişdirilməsi tələb edildikdə, biz bir ssenari təyin etmişik. Bunun üçün ona poçt avtorizasiya portalının saxta səhifəsi təklif olunur, bundan sonra istifadəçi istənilən mövcud şirkət resursuna göndərilə bilər.
Tamamlanmış səhifəni yadda saxlamağı və "Yeni Kampaniya" bölməsinə keçməyi unutmayın.
GoPhish balıq ovu işə salınır
Biz bütün lazımi məlumatları vermişik. "Yeni Kampaniya" tabında yeni kampaniya yaradın.
Kampaniyanın başlanması
Harada:
ad
Kampaniyanın adı
Elektron poçt şablonu
Mesaj Şablonu
Açılış-səhifə
Fişinq səhifəsi
URL
GoPhish serverinizin IP-si (qurbanın hostu ilə şəbəkəyə giriş imkanı olmalıdır)
Başlanğıc tarixi
Kampaniyanın başlama tarixi
E-poçt Göndər
Kampaniyanın bitmə tarixi (poçt göndərişi bərabər paylanır)
Profil göndərilir
Göndərən profili
Qruplar
Poçt alıcı qrupu
Başladıqdan sonra biz həmişə statistika ilə tanış ola bilərik, bunlar: göndərilən mesajlar, açıq mesajlar, keçidlərə kliklər, qalan məlumatlar, spama köçürmə.
Statistikaya görə görürük ki, 1 mesaj göndərilib, poçtu alıcı tərəfdən yoxlayaq:
Həqiqətən, qurban müvəffəqiyyətlə korporativ hesab parolunu dəyişmək üçün linki izləməyi xahiş edən fişinq e-poçtu aldı. Tələb olunan hərəkətləri yerinə yetiririk, Açılış Səhifələri səhifəsinə göndərilirik, bəs statistika?
Nəticədə, istifadəçimiz potensial olaraq hesab məlumatlarını tərk edə biləcəyi fişinq linkini izlədi.
Müəllif qeydi: test planının istifadəsi səbəbindən məlumatların daxil edilməsi prosesi düzəldilməyib, lakin belə bir seçim var. Eyni zamanda, məzmun şifrələnmir və GoPhish verilənlər bazasında saxlanılır, lütfən bunu qeyd edin.
Bunun əvəzinə bir nəticəyə
Bu gün biz işçilərin fişinq hücumlarından qorunması və İT savadlılığı üzrə maarifləndirilməsi məqsədilə onların avtomatlaşdırılmış təlimlərinin keçirilməsi aktual məsələsinə toxunduq. Əlverişli bir həll olaraq, nəticə əldə etmək üçün yerləşdirmə vaxtı baxımından yaxşı çıxış edən Gophish yerləşdirildi. Bu sərfəli alətlə siz öz işçilərini yoxlaya və davranışları haqqında hesabat yarada bilərsiniz. Əgər bu məhsulla maraqlanırsınızsa, biz onu yerləşdirmək və işçilərinizin auditini yoxlamaqda yardım təklif edirik ([e-poçt qorunur]).
Bununla belə, biz bir həllin nəzərdən keçirilməsi ilə dayanmaq niyyətində deyilik və dövrü davam etdirməyi planlaşdırırıq, burada öyrənmə prosesinin avtomatlaşdırılması və işçilərin təhlükəsizliyinin monitorinqi üçün Enterprise həlləri haqqında danışacağıq. Bizimlə qalın və sayıq olun!
Mənbə: www.habr.com