1. Obuka korisnika osnovama informacione sigurnosti. Borba protiv phishinga
Danas mrežni administrator ili inženjer informacione sigurnosti troši mnogo vremena i truda da zaštiti perimetar poslovne mreže od raznih prijetnji, ovladavajući novim sistemima za sprječavanje i praćenje događaja, ali ni to ne garantuje potpunu sigurnost. Socijalni inženjering aktivno koriste napadači i može imati ozbiljne posljedice.
Koliko često ste sebe uhvatili kako razmišljate: „Bilo bi lijepo organizovati test pismenosti za informatičku sigurnost za osoblje“? Nažalost, misli nailaze na zid nesporazuma u vidu velikog broja zadataka ili ograničenog vremena u radnom danu. Planiramo da vam pričamo o savremenim proizvodima i tehnologijama u oblasti automatizacije obuke kadrova, za koje neće biti potrebna duga obuka za pilotiranje ili implementaciju, već o svemu po redu.
Teorijska osnova
Danas se više od 80% zlonamjernih datoteka distribuira putem e-pošte (podaci preuzeti iz izvještaja stručnjaka Check Pointa u protekloj godini pomoću usluge Intelligence Reports).
Izvještaj za posljednjih 30 dana o vektoru napada za distribuciju zlonamjernih datoteka (Rusija) - Check Point
Ovo sugerira da je sadržaj u porukama e-pošte prilično ranjiv na eksploataciju od strane napadača. Ako uzmemo u obzir najpopularnije zlonamjerne formate datoteka u prilozima (EXE, RTF, DOC), vrijedi napomenuti da oni, po pravilu, sadrže automatske elemente izvršavanja koda (skripte, makroi).
Godišnji izvještaj o formatima datoteka u primljenim zlonamjernim porukama - Check Point
Kako se nositi sa ovim vektorom napada? Provjera pošte uključuje korištenje sigurnosnih alata:
Antivirus — detekcija pretnji potpisom.
imitacija - sandbox sa kojim se prilozi otvaraju u izolovanom okruženju.
Content Awareness — izdvajanje aktivnih elemenata iz dokumenata. Korisnik dobija očišćeni dokument (obično u PDF formatu).
I, u teoriji, ovo je dovoljno, ali postoji još jedan jednako vrijedan resurs za kompaniju - korporativni i lični podaci zaposlenih. Posljednjih godina aktivno raste popularnost sljedeće vrste internetskih prijevara:
Phishing (engleski phishing, od fishing - pecanje, pecanje) - vrsta internet prevare. Njegova svrha je da dobije identifikacione podatke korisnika. To uključuje krađu lozinki, brojeva kreditnih kartica, bankovnih računa i drugih osjetljivih informacija.
Napadači poboljšavaju metode phishing napada, preusmjeravaju DNS zahtjeve sa popularnih stranica i pokreću čitave kampanje koristeći društveni inženjering za slanje e-pošte.
Stoga, kako biste zaštitili svoju korporativnu e-poštu od krađe identiteta, preporučuje se korištenje dva pristupa, a njihova kombinirana upotreba dovodi do najboljih rezultata:
Alati tehničke zaštite. Kao što je ranije spomenuto, različite tehnologije se koriste za provjeru i prosljeđivanje samo legitimne pošte.
Teorijska obuka kadrova. Sastoji se od sveobuhvatnog testiranja osoblja radi identifikacije potencijalnih žrtava. Zatim se prekvalifikacija i stalno bilježi statistika.
Ne vjerujte i provjerite
Danas ćemo govoriti o drugom pristupu sprečavanju phishing napada, odnosno automatiziranoj obuci osoblja u cilju povećanja ukupnog nivoa sigurnosti korporativnih i ličnih podataka. Zašto bi ovo moglo biti tako opasno?
socijalni inženjering — psihološka manipulacija ljudima u cilju obavljanja određenih radnji ili otkrivanja povjerljivih informacija (u vezi sa sigurnošću informacija).
Dijagram tipičnog scenarija implementacije phishing napada
Hajde da pogledamo zabavni dijagram toka koji ukratko opisuje put phishing kampanje. Ima različite faze:
Prikupljanje primarnih podataka.
U 21. veku je teško naći osobu koja nije registrovana ni na jednoj društvenoj mreži ili na raznim tematskim forumima. Naravno, mnogi od nas ostavljaju detaljne podatke o sebi: mjesto trenutnog rada, grupa za kolege, telefon, pošta itd. Dodajte ovom personaliziranim informacijama o interesima neke osobe i imate podatke za formiranje šablona za krađu identiteta. Čak i ako nismo uspjeli pronaći ljude sa takvim informacijama, uvijek postoji web stranica kompanije na kojoj možemo pronaći sve informacije koje nas zanimaju (e-mail domene, kontakti, veze).
Pokretanje kampanje.
Kada imate odskočnu dasku, možete koristiti besplatne ili plaćene alate za pokretanje vlastite ciljane phishing kampanje. Tokom procesa slanja, skupljat ćete statistiku: isporučena pošta, otvorena pošta, kliknuti na linkove, uneseni vjerodajnici itd.
Proizvodi na tržištu
Phishing mogu koristiti i napadači i zaposleni u informacionoj sigurnosti kompanije kako bi sproveli stalnu reviziju ponašanja zaposlenih. Šta nam nudi tržište besplatnih i komercijalnih rješenja za automatizirani sistem obuke zaposlenih u kompaniji:
GoPhish je projekat otvorenog koda koji vam omogućava da pokrenete phishing kampanju kako biste provjerili informatičku pismenost vaših zaposlenika. Smatram da su prednosti jednostavnost implementacije i minimalni sistemski zahtjevi. Nedostaci su nedostatak gotovih šablona za slanje pošte, nedostatak testova i materijala za obuku osoblja.
KnowBe4 — stranica sa velikim brojem dostupnih proizvoda za testiranje osoblja.
Phishman — automatizovani sistem za testiranje i obuku zaposlenih. Ima različite verzije proizvoda koji podržavaju od 10 do više od 1000 zaposlenih. Kursevi obuke uključuju teorijske i praktične zadatke, moguće je identifikovati potrebe na osnovu statistike dobijene nakon phishing kampanje. Rješenje je komercijalno s mogućnošću probne upotrebe.
Anti-phishing — automatizovani sistem obuke i nadzora bezbednosti. Komercijalni proizvod nudi periodične napade na obuku, obuku zaposlenih itd. Kampanja se nudi kao demo verzija proizvoda, koja uključuje implementaciju šablona i provođenje tri trening napada.
Gore navedena rješenja samo su dio dostupnih proizvoda na tržištu automatizirane obuke osoblja. Naravno, svaki ima svoje prednosti i mane. Danas ćemo se upoznati sa GoPhish, simulirati phishing napad i istražiti dostupne opcije.
GoPhish
Dakle, vrijeme je za vježbu. GoPhish nije slučajno odabran: to je alat lak za korištenje sa sljedećim karakteristikama:
Pojednostavljena instalacija i pokretanje.
REST API podrška. Omogućava vam da kreirate upite iz dokumentaciju i primijeniti automatizirane skripte.
Pogodan grafički kontrolni interfejs.
Cross-platform.
Razvojni tim je pripremio odličan gajd o postavljanju i konfiguraciji GoPhish-a. U stvari, sve što treba da uradite je da odete na spremište, preuzmite ZIP arhivu za odgovarajući OS, pokrenite internu binarnu datoteku, nakon čega će alat biti instaliran.
VAŽNA NAPOMENA!
Kao rezultat toga, na terminalu biste trebali primiti informacije o implementiranom portalu, kao i autorizacijske podatke (relevantne za verzije starije od verzije 0.10.1). Ne zaboravite osigurati lozinku za sebe!
msg="Please login with the username admin and the password <ПАРОЛЬ>"
Razumijevanje GoPhish postavke
Nakon instalacije, konfiguracijski fajl (config.json) će biti kreiran u direktoriju aplikacije. Hajde da opišemo parametre za njegovu promjenu:
Ključ
vrijednost (zadano)
Opis
admin_server.listen_url
127.0.0.1:3333
IP adresa GoPhish servera
admin_server.use_tls
lažan
Koristi li se TLS za povezivanje na GoPhish server
admin_server.cert_path
primjer.crt
Put do SSL certifikata za GoPhish admin portal
admin_server.key_path
primjer.ključ
Put do privatnog SSL ključa
phish_server.listen_url
0.0.0.0:80
IP adresa i port na kojem se nalazi phishing stranica (podrazumevano je hostovana na samom GoPhish serveru na portu 80)
—> Idite na portal za upravljanje. u našem slučaju: https://127.0.0.1:3333
—> Od vas će se tražiti da promijenite prilično dugu lozinku u jednostavniju ili obrnuto.
Kreiranje profila pošiljaoca
Idite na karticu "Slanje profila" i navedite informacije o korisniku od koga će poticati naša e-pošta:
Gde:
Ime
Ime pošiljaoca
od
E-mail pošiljaoca
domaćin
IP adresa mail servera sa kojeg će se preslušavati dolazna pošta.
Korisničko
Prijava korisničkog naloga mail servera.
lozinka
Lozinka korisničkog naloga mail servera.
Također možete poslati probnu poruku kako biste osigurali uspjeh isporuke. Sačuvajte podešavanja pomoću dugmeta „Sačuvaj profil“.
Kreiranje grupe primalaca
Zatim biste trebali formirati grupu primalaca "lančanih pisama". Idite na “Korisnici i grupe” → “Nova grupa”. Postoje dva načina za dodavanje: ručno ili uvoz CSV datoteke.
Nakon što smo identificirali imaginarnog napadača i potencijalne žrtve, trebamo kreirati šablon s porukom. Da biste to učinili, idite na odjeljak “Šabloni e-pošte” → “Novi predlošci”.
Prilikom formiranja šablona koristi se tehnički i kreativan pristup, treba navesti poruku servisa koja će biti poznata korisnicima žrtve ili će kod njih izazvati određenu reakciju. Moguće opcije:
Ime
Naziv šablona
Naslov
Subjekt pisma
Tekst/HTML
Polje za unos teksta ili HTML koda
Gophish podržava uvoz slova, ali mi ćemo kreirati svoja. Da bismo to uradili, simuliramo scenario: korisnik kompanije prima pismo u kojem se od njega traži da promeni lozinku iz svoje poslovne e-pošte. Zatim, analizirajmo njegovu reakciju i pogledajmo naš "ulov".
Koristićemo ugrađene varijable u šablonu. Više detalja možete pronaći u gornjem tekstu vodič U poglavlju Template Reference.
Prvo, učitajmo sljedeći tekst:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
Shodno tome, ime korisnika će biti automatski uneseno (prema prethodno navedenoj stavci „Nova grupa“) i naznačena njegova poštanska adresa.
Zatim, trebali bismo dati vezu do našeg phishing resursa. Da biste to učinili, označite riječ "ovdje" u tekstu i odaberite opciju "Link" na kontrolnoj tabli.
Postavit ćemo URL na ugrađenu varijablu {{.URL}}, koju ćemo popuniti kasnije. Automatski će biti ugrađen u tekst phishing e-pošte.
Prije spremanja predloška, ne zaboravite omogućiti opciju „Dodaj sliku za praćenje“. Ovo će dodati medijski element veličine 1x1 piksela koji će pratiti da li je korisnik otvorio email.
Dakle, nije ostalo mnogo, ali prvo ćemo sumirati potrebne korake nakon što se prijavite na Gophish portal:
Kreirajte profil pošiljaoca;
Kreirajte distribucijsku grupu u kojoj specificirate korisnike;
Kreirajte šablon e-pošte za krađu identiteta.
Slažem se, postavljanje nije oduzelo mnogo vremena i skoro smo spremni za pokretanje naše kampanje. Ostaje samo da dodate phishing stranicu.
Kreiranje phishing stranice
Idite na karticu "Odredišne stranice".
Od nas će biti zatraženo da navedemo ime objekta. Moguće je uvesti izvorni sajt. U našem primjeru pokušao sam odrediti radni web portal mail servera. Shodno tome, uvezen je kao HTML kod (iako ne u potpunosti). Sljedeće su zanimljive opcije za hvatanje korisničkog unosa:
Snimite dostavljene podatke. Ako navedena stranica stranice sadrži različite forme za unos, tada će svi podaci biti snimljeni.
Capture Passwords - snimanje unesenih lozinki. Podaci se upisuju u GoPhish bazu podataka bez enkripcije, kao što jesu.
Dodatno, možemo koristiti opciju “Preusmjeri na”, koja će preusmjeriti korisnika na određenu stranicu nakon unosa vjerodajnica. Da vas podsjetim da smo postavili scenario u kojem se od korisnika traži da promijeni lozinku za korporativnu e-poštu. Da bi to učinio, nudi mu se stranica portala za autorizaciju lažne pošte, nakon čega se korisnik može poslati na bilo koji dostupan resurs kompanije.
Ne zaboravite sačuvati završenu stranicu i otići na odjeljak "Nova kampanja".
Lansiranje GoPhish ribolova
Dali smo sve potrebne informacije. Na kartici "Nova kampanja" kreirajte novu kampanju.
Pokretanje kampanje
Gde:
Ime
Naziv kampanje
Predložak e-pošte
Šablon poruke
Landing Page
phishing stranica
URL
IP vašeg GoPhish servera (mora imati mrežnu dostupnost sa hostom žrtve)
Datum pokretanja
Datum početka kampanje
Pošaljite e-poštu putem
Datum završetka kampanje (pošta raspoređena ravnomjerno)
Slanje profila
Profil pošiljaoca
Grupe
Grupa primatelja pošte
Nakon starta uvijek se možemo upoznati sa statistikom koja označava: poslane poruke, otvorene poruke, klikove na linkove, ostavljene podatke prebačene u neželjenu poštu.
Iz statistike vidimo da je poslata 1 poruka, provjerimo mail sa strane primaoca:
Zaista, žrtva je uspješno primila phishing email u kojem se od njega traži da slijedi vezu za promjenu lozinke svog korporativnog računa. Izvodimo tražene radnje, šaljemo se na Landing Pages, šta je sa statistikom?
Kao rezultat toga, naš korisnik je kliknuo na phishing link, gdje bi potencijalno mogao ostaviti podatke o svom računu.
Napomena autora: proces unosa podataka nije snimljen zbog upotrebe testnog izgleda, ali takva opcija postoji. Međutim, sadržaj nije šifriran i pohranjen je u GoPhish bazi podataka, imajte to na umu.
Umjesto zaključka
Danas smo se dotakli aktuelne teme izvođenja automatizovane obuke za zaposlene kako bismo ih zaštitili od phishing napada i kod njih razvili informatičku pismenost. Gophish je raspoređen kao pristupačno rješenje, koje je pokazalo dobre rezultate u pogledu vremena implementacije i rezultata. Pomoću ovog pristupačnog alata možete vršiti reviziju svojih zaposlenika i generirati izvještaje o njihovom ponašanju. Ako ste zainteresovani za ovaj proizvod, nudimo pomoć u njegovoj implementaciji i reviziji vaših zaposlenih ([email zaštićen]).
Međutim, nećemo stati na pregledu jednog rješenja i planiramo nastavak ciklusa, gdje ćemo govoriti o Enterprise rješenjima za automatizaciju procesa obuke i praćenje sigurnosti zaposlenih. Ostanite uz nas i budite oprezni!