Avui dia, un administrador de xarxa o un enginyer de seguretat de la informació dedica molt de temps i esforços a protegir el perímetre d'una xarxa empresarial de diverses amenaces, domina nous sistemes per prevenir i controlar esdeveniments, però fins i tot això no li garanteix una seguretat total. Els atacants utilitzen activament l'enginyeria social i pot tenir conseqüències greus.
Amb quina freqüència t'has sorprès pensant: "Estaria bé organitzar una comprovació del personal per a l'alfabetització en seguretat de la informació"? Malauradament, els pensaments topen amb un mur d'incomprensió en forma d'un gran nombre de tasques o el temps limitat de la jornada laboral. Tenim la intenció de parlar-vos de productes i tecnologies modernes en el camp de l'automatització de la formació del personal, que no requeriran una llarga preparació per a la pilotatge o la implementació, sinó primer les coses.
Fonaments teòrics
Avui en dia, més del 80% dels fitxers maliciosos es distribueixen per correu (dades extretes dels informes dels experts de Check Point durant l'últim any mitjançant el servei d'Informes d'Intel·ligència).
Informe vectorial d'atac a fitxers maliciosos (Rússia) - Punt de control
Això suggereix que el contingut dels missatges de correu electrònic és prou vulnerable per ser explotat pels atacants. Si tenim en compte els formats de fitxers maliciosos més populars als fitxers adjunts (EXE, RTF, DOC), val la pena assenyalar que solen contenir elements d'execució automàtica de codi (scripts, macros).
Informe anual sobre els formats de fitxer en missatges maliciosos rebuts - Punt de control
Com fer front a aquest vector d'atac? Comprovar el correu utilitza eines de seguretat:
-
Antivirus — Detecció de signatura d'amenaces.
-
Emulació - una caixa de sorra amb la qual s'obren els accessoris en un entorn aïllat.
-
Coneixement dels continguts — extracció d'elements actius dels documents. L'usuari rep un document netejat (normalment en format PDF).
-
Anti-spam - Comprovació de la reputació del domini del destinatari/emissor.
I, en teoria, n'hi ha prou, però hi ha un altre recurs igualment valuós per a l'empresa: dades corporatives i personals dels empleats. En els darrers anys, la popularitat del següent tipus de frau a Internet ha anat creixent activament:
Phishing (Anglès phishing, de pesca - pesca, pesca) - un tipus de frau a Internet. La seva finalitat és obtenir dades d'identificació de l'usuari. Això inclou robar contrasenyes, números de targetes de crèdit, comptes bancaris i altra informació sensible.
Els atacants estan perfeccionant els atacs de pesca, redirigint les sol·licituds de DNS de llocs populars i desplegant campanyes senceres mitjançant l'enginyeria social per enviar correus electrònics.
Per tant, per protegir el vostre correu electrònic corporatiu de la pesca, es recomanen dos enfocaments i utilitzar-los junts permet obtenir els millors resultats:
-
Eines tècniques de protecció. Com s'ha esmentat anteriorment, s'utilitzen diverses tecnologies per comprovar i reenviar només correu legítim.
-
Formació teòrica del personal. Consisteix en proves exhaustives del personal per identificar possibles víctimes. A més, es tornen a formar, les estadístiques es registren constantment.
No confieu i comproveu
Avui parlarem del segon enfocament per prevenir atacs de phishing, és a dir, la formació automatitzada del personal per tal d'augmentar el nivell general de seguretat de les dades corporatives i personals. Per què pot ser tan perillós?
Enginyeria social - manipulació psicològica de persones per tal de realitzar determinades accions o revelar informació confidencial (en relació amb la seguretat de la informació).
Diagrama d'un escenari típic de desplegament d'atac de pesca
Fem una ullada a un diagrama de flux entretingut que descriu breument el camí per promocionar una campanya de pesca. Té diferents etapes:
-
Recollida de dades primàries.
Al segle XXI és difícil trobar una persona que no estigui registrada en cap xarxa social o en diversos fòrums temàtics. Naturalment, molts de nosaltres deixem informació detallada sobre nosaltres mateixos: lloc de treball actual, grup de companys, telèfon, correu, etc. Afegiu-hi informació personalitzada sobre els interessos d'una persona i tindreu les dades per formar una plantilla de pesca. Encara que no fos possible trobar persones amb aquesta informació, sempre hi ha un lloc web de l'empresa des d'on es pot trobar tota la informació que ens interessa (correu del domini, contactes, connexions).
-
Llançament de la campanya.
Un cop configurat el punt de partida, podeu llançar la vostra pròpia campanya de pesca orientada mitjançant eines gratuïtes o de pagament. En el transcurs de la llista de correu, acumularàs estadístiques: correu lliurat, correu obert, fent clic als enllaços, introduint credencials, etc.
Productes al mercat
El phishing pot ser utilitzat tant pels ciberdelinqüents com pels empleats de la seguretat de la informació de l'empresa per tal de dur a terme una auditoria contínua del comportament dels empleats. Què ens ofereix el mercat de solucions gratuïtes i comercials per a un sistema de formació automatitzat per als empleats de l'empresa:
-
és un projecte de codi obert que us permet desplegar una empresa de pesca per comprovar l'alfabetització informàtica dels vostres empleats. Els avantatges inclouria la facilitat de desplegament i els requisits mínims del sistema. Els desavantatges són la manca de plantilles de correu preparades, la manca de proves i materials de formació per al personal.
-
— una plataforma amb un gran nombre de productes disponibles per a proves de personal.
-
— un sistema automatitzat de proves i formació dels empleats. Disposa de diferents versions de productes que suporten des de 10 fins a més de 1000 empleats. Els cursos de formació inclouen tasques teòriques i pràctiques, és possible identificar necessitats a partir de les estadístiques obtingudes després de la campanya de phishing. La solució és comercial amb possibilitat d'ús de prova.
-
— Sistema automatitzat de formació i control de seguretat. Un producte comercial ofereix atacs simulats periòdics, formació dels empleats, etc. Com a versió de demostració del producte, s'ofereix una campanya que inclou el desplegament de plantilles i la realització de tres atacs d'entrenament.
Les solucions anteriors són només una part dels productes disponibles al mercat de formació automatitzada del personal. Per descomptat, cadascun té els seus propis avantatges i desavantatges. Avui ens coneixerem , simular un atac de pesca, explorar les opcions disponibles.
GoPhish
Per tant, és hora de practicar. GoPhish no va ser escollit per casualitat: és una eina fàcil d'utilitzar amb les següents característiques:
-
Instal·lació i llançament simplificats.
-
Suport de l'API REST. Permet generar sol·licituds des de i aplicar scripts automatitzats.
-
Interfície gràfica d'usuari convenient.
-
Multiplataforma.
L'equip de desenvolupament ha preparat un excel·lent sobre el desplegament i la configuració de GoPhish. De fet, només cal anar-hi , descarregueu l'arxiu ZIP del sistema operatiu corresponent, executeu el fitxer binari intern, després del qual s'instal·larà l'eina.
NOTA IMPORTANT!
Com a resultat, hauríeu de rebre informació sobre el portal desplegat al terminal, així com dades d'autorització (rellevants per a versions anteriors a la versió 0.10.1). No oblidis guardar la teva contrasenya!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Entendre la configuració de GoPhish
Després de la instal·lació, es crearà un fitxer de configuració (config.json) al directori de l'aplicació. Descrivim els paràmetres per canviar-lo:
Clau
Valor (per defecte)
Descripció
admin_server.listen_url
127.0.0.1:3333
Adreça IP del servidor GoPhish
admin_server.use_tls
false
S'utilitza TLS per connectar-se al servidor GoPhish
admin_server.cert_path
exemple.crt
Camí al certificat SSL per al portal d'administració de GoPhish
admin_server.key_path
exemple.clau
Camí a la clau SSL privada
phish_server.listen_url
0.0.0.0:80
Pàgina de pesca que allotja l'adreça IP i el port (allotjat al propi servidor GoPhish al port 80 de manera predeterminada)
—> Aneu al portal de gestió. En el nostre cas: https://127.0.0.1:3333
-> Se us demanarà que canvieu una contrasenya prou llarga per una de més senzilla o viceversa.
Creació d'un perfil de remitent
Aneu a la pestanya "Enviament de perfils" i especifiqueu les dades de l'usuari des del qual s'enviarà el nostre correu:
On:
Nom
Nom del remitent
de
Correu del remitent
Amfitrió
L'adreça IP del servidor de correu des del qual s'escoltarà el correu entrant.
Nom d'usuari
Inici de sessió del compte d'usuari del servidor de correu.
Contrasenya
La contrasenya del compte d'usuari del servidor de correu.
També podeu enviar un missatge de prova per assegurar-vos que l'entrega ha estat correcta. Deseu la configuració mitjançant el botó "Desa el perfil".
Creeu un grup de destinació
A continuació, hauríeu de formar un grup de destinataris de "cartes de felicitat". Aneu a "Usuari i grups" → "Grup nou". Hi ha dues maneres d'afegir: manualment o important un fitxer CSV.
El segon mètode requereix la presència de camps obligatoris:
-
Nom
-
Cognom
-
Email
-
Posició
Com un exemple:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Creeu una plantilla de correu electrònic de pesca
Després d'haver identificat l'atacant imaginari i les víctimes potencials, hem de crear una plantilla de missatge. Per fer-ho, aneu a la secció "Plantilles de correu electrònic" → "Plantilles noves".
A l'hora de formar una plantilla, s'utilitza un enfocament tècnic i creatiu, heu d'especificar un missatge del servei que serà conegut per als usuaris víctimes o provocar-los una certa reacció. Opcions possibles:
Nom
Nom de la plantilla
Assumpte
Assumpte de la carta
Text/HTML
Camp per introduir text o codi HTML
Gophish admet la importació de correu electrònic, però en crearem el nostre. Per fer-ho, simulem un escenari: un usuari d'empresa rep una carta amb una proposta de canvi de contrasenya des del seu correu corporatiu. A continuació, analitzem la seva reacció i mirem la nostra "captura".
Utilitzarem variables integrades a la plantilla. Podeu trobar més detalls a l'anterior a la secció .
En primer lloc, carreguem el text següent:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamEn conseqüència, automàticament se substituirà el nom d'usuari (segons l'element “Nou Grup” establert anteriorment) i s'indicarà la seva adreça postal.
A continuació, hauríem de proporcionar un enllaç al nostre recurs de pesca. Per fer-ho, seleccioneu la paraula "aquí" al text i seleccioneu l'opció "Enllaç" al tauler de control.
Com a URL, especificarem la variable integrada {{.URL}}, que omplirem més endavant. S'incrustarà automàticament al cos del correu electrònic de pesca.
No oblideu activar l'opció "Afegeix una imatge de seguiment" abans de desar la plantilla. Això afegirà un element multimèdia d'1 x 1 píxel que farà un seguiment quan l'usuari hagi obert el correu electrònic.
Per tant, no queda gaire, però primer resumim els passos necessaris després de l'autorització al portal Gophish:
-
Crear un perfil de remitent;
-
Crear un grup de distribució on especificar els usuaris;
-
Creeu una plantilla de correu electrònic de pesca.
D'acord, la configuració no ha trigat gaire i estem gairebé a punt per llançar la nostra campanya. Queda per afegir una pàgina de pesca.
Creació d'una pàgina de pesca
Aneu a la pestanya "Pàgines de destinació".
Se'ns demanarà que especifiquem el nom de l'objecte. És possible importar el lloc d'origen. Al nostre exemple, he intentat especificar un portal web de servidor de correu que funcioni. En conseqüència, es va importar com a codi HTML (encara que no completament). Les opcions següents són interessants per capturar l'entrada de l'usuari:
-
Captura les dades enviades. Si la pàgina del lloc especificada conté diversos formularis d'entrada, es registraran totes les dades.
-
Captura contrasenyes: captura les contrasenyes introduïdes. Les dades s'escriuen a la base de dades GoPhish sense xifratge, tal com és.
A més, podem utilitzar l'opció "Redirigir a", que redirigirà l'usuari a la pàgina especificada després d'introduir les credencials. Permeteu-me que us recordi que hem establert un escenari en què es demana a l'usuari que canviï la contrasenya per al correu corporatiu. Per fer-ho, se li ofereix una pàgina falsa del portal d'autorització de correu, després de la qual es pot enviar l'usuari a qualsevol recurs de l'empresa disponible.
No oblideu desar la pàgina completada i anar a la secció "Nova campanya".
Llançament de la pesca GoPhish
Hem proporcionat tota la informació requerida. A la pestanya "Campanya nova", creeu una campanya nova.
Llançament de la campanya
On:
Nom
Nom de la campanya
E-mail Template
Plantilla de missatge
Landing Page
Pàgina de phishing
URL
IP del vostre servidor GoPhish (ha de tenir accés a la xarxa amb l'amfitrió de la víctima)
Data de llançament
Data d'inici de la campanya
Enviar correu electrònic per
Data de finalització de la campanya (el correu es distribueix uniformement)
S'està enviant el perfil
Perfil del remitent
grups
Grup de destinataris de correu
Després de començar, sempre podem familiaritzar-nos amb les estadístiques, que indiquen: missatges enviats, missatges oberts, clics als enllaços, dades que queden, transferència a correu brossa.
A partir de les estadístiques veiem que s'ha enviat 1 missatge, comprovem el correu des del destinatari:
De fet, la víctima va rebre amb èxit un correu electrònic de pesca que li demanava que seguissin l'enllaç per canviar la contrasenya del seu compte corporatiu. Realitzem les accions sol·licitades, ens envien a la pàgina de pàgines de destinació, què passa amb les estadístiques?
Com a resultat, el nostre usuari va seguir un enllaç de pesca on podria deixar la informació del seu compte.
Nota de l'autor: el procés d'entrada de dades no es va solucionar a causa de l'ús d'un disseny de prova, però hi ha aquesta opció. Al mateix temps, el contingut no està xifrat i s'emmagatzema a la base de dades GoPhish, tingueu-ho en compte.
En lloc d'una conclusió
Avui hem tractat el tema d'actualitat de la formació automatitzada per als empleats per protegir-los dels atacs de pesca i educar-los en coneixements informàtics. Com a solució assequible, es va desplegar Gophish, que va funcionar bé pel que fa al temps i al resultat de desplegament. Amb aquesta eina assequible, podeu comprovar els vostres empleats i generar informes sobre el seu comportament. Si esteu interessat en aquest producte, oferim assistència per implementar-lo i auditar els vostres empleats ([protegit per correu electrònic]).
No obstant això, no ens aturarem en la revisió d'una solució i pensem continuar el cicle, on parlarem de solucions empresarials per automatitzar el procés d'aprenentatge i supervisar la seguretat dels empleats. Queda't amb nosaltres i estigues atent!
Font: www.habr.com