Oghje, un amministratore di rete o un ingegnere di sicurità di l'infurmazioni passa assai tempu è sforzu per prutege u perimetru di una reta di l'impresa da diverse minacce, maestrà novi sistemi per prevenzione è monitorizazione di l'avvenimenti, ma ancu questu ùn guarantisci micca a sicurità cumpleta. L'ingenieria suciale hè attivamente utilizata da l'attaccanti è pò avè cunsiquenzi gravi.
Quante volte avete capitu à pensà: "Saria bellu di organizà una prova per u persunale nantu à l'alfabetizazione di sicurezza di l'infurmazioni"? Sfurtunatamente, i pinsamenti scorri in un muru di malintesi in a forma di un gran numaru di travaglii o tempu limitatu in u ghjornu di travagliu. Prughjemu di parlà di i prudutti muderni è tecnulugii in u campu di l'automatizazione di a furmazione di u persunale, chì ùn hà micca bisognu di furmazione longu per u pilotu o l'implementazione, ma di tuttu ciò chì hè in ordine.
Fundamentu teoricu
Oghje, più di 80% di i fugliali maliziusi sò distribuiti via email (dati pigliati da i rapporti di i specialisti di Check Point in l'annu passatu cù u serviziu di Rapporti di Intelligenza).
Rapportu per l'ultimi 30 ghjorni nantu à u vettore d'attaccu per a distribuzione di fugliali maliziusi (Russia) - Check Point
Questu suggerisce chì u cuntenutu in i missaghji email hè abbastanza vulnerabile à a sfruttamentu da l'attaccanti. Se avemu cunsideratu i formati di fugliali maliziusi più populari in annessi (EXE, RTF, DOC), vale a pena nutà chì, in regula, cuntenenu elementi automatichi di esecuzione di codice (scripts, macros).
Rapportu annuale nantu à i formati di schedari in i missaghji maliziusi ricevuti - Check Point
Cumu trattà cun questu vettore di attaccu? A verificazione di mail implica l'usu di strumenti di sicurezza:
-
Antivirus - rilevazione di firma di minacce.
-
émulation - un sandbox cù quale l'attachments sò aperti in un ambiente isolatu.
-
Cuscenza di u cuntenutu - estrazione di elementi attivi da i ducumenti. L'utilizatore riceve un documentu pulitu (di solitu in furmatu PDF).
-
AntiSpam - cuntrollà u duminiu destinatariu / mittente per a reputazione.
E, in teoria, questu hè abbastanza, ma ci hè un altru risorsu ugualmente preziosu per a cumpagnia - dati corporativi è persunali di l'impiegati. Nta l'ultimi anni, a popularità di u seguente tipu di fraude in Internet hè attivamente crescente:
Phishing (Inglese phishing, da pesca - pesca, pesca) - un tipu di fraude Internet. U so scopu hè di ottene dati d'identificazione di l'utilizatori. Questu include u furtu di password, numeri di carte di creditu, cunti bancari è altre informazioni sensibili.
L'attaccanti migliurà i metudi di attacchi di phishing, redirigendu e dumande DNS da siti populari, è lancianu campagni interi cù l'ingegneria suciale per mandà email.
Cusì, per prutege u vostru email corporativu da u phishing, hè cunsigliatu di utilizà dui approcci, è u so usu cumminatu porta à i migliori risultati:
-
Strumenti di prutezzione tecnicu. Comu diciatu prima, diverse tecnulugii sò usati per verificà è trasmette solu mail legittimi.
-
Formazione teorica di u persunale. Hè custituitu da una prova cumpleta di u persunale per identificà e vittimi potenziali. Allora sò ricuperati è e statistiche sò constantemente registrate.
Ùn avete micca fiducia è verificate
Oghje parlemu di u sicondu approcciu per prevene l'attacchi di phishing, vale à dì a furmazione automatizata di u persunale per aumentà u livellu generale di sicurità di e dati corporativi è persunali. Perchè questu puderia esse cusì periculosu?
ingegneria suciale - manipulazione psicologica di e persone per fà certe azzioni o divulgà infurmazione cunfidenziale (in relazione à a sicurità di l'infurmazioni).
Diagramma di un scenariu tipicu di implementazione di attaccu di phishing
Fighjemu un divertente diagramma di flussu chì delinea brevemente u viaghju di una campagna di phishing. Hà diverse tappe:
-
Raccolta di dati primari.
In u 21u seculu, hè difficiule di truvà una persona chì ùn hè micca registrata in ogni reta suciale o in diversi fori tematichi. Naturalmente, assai di noi lassemu infurmazioni detallati nantu à noi stessi: locu di travagliu attuale, gruppu per i culleghi, telefonu, mail, etc. Aghjunghjite à questa infurmazione persunalizata nantu à l'interessi di una persona è avete i dati per furmà un mudellu di phishing. Ancu s'ellu ùn pudemu micca truvà persone cun tali informazioni, ci hè sempre un situ web di a cumpagnia induve pudemu truvà tutte l'infurmazioni chì ci interessanu (email di duminiu, cuntatti, cunnessione).
-
Lanciamentu di a campagna.
Una volta chì avete un trampolinu in u locu, pudete aduprà strumenti gratuiti o pagati per lancià a vostra propria campagna di phishing. Duranti u prucessu di mailing, accumulerete statistiche: mail mandatu, mail apertu, ligami clicati, credenziali inseriti, etc.
I prudutti nantu à u mercatu
U phishing pò esse usatu da l'attaccanti è l'impiegati di sicurezza di l'infurmazioni di a cumpagnia per fà un auditu continuu di u cumpurtamentu di l'impiegati. Chì ci offre u mercatu di suluzioni gratuiti è cummirciali per u sistema di furmazione automatizatu per l'impiegati di l'impresa:
-
hè un prughjettu open source chì permette di implementà una campagna di phishing per verificà l'alfabetizazione IT di i vostri impiegati. Cunsidereraghju chì i vantaghji sò a facilità di implementazione è i requisiti minimi di u sistema. I svantaghji sò a mancanza di mudelli di mailing pronti, a mancanza di testi è materiale di furmazione per u persunale.
-
- un situ cù un gran numaru di prudutti dispunibili per u persunale di teste.
-
- sistema automatizatu per a prova è a furmazione di l'impiegati. Hà diverse versioni di prudutti chì sustenenu da 10 à più di 1000 impiegati. I corsi di furmazione includenu teorie è prucedure pratiche; hè pussibule identificà i bisogni in basa di e statistiche ottenute dopu una campagna di phishing. A suluzione hè cummerciale cù a pussibilità di usu di prova.
-
- sistema automatizatu di furmazione è di surviglianza di sicurità. U pruduttu cummerciale offre attacchi di furmazione periodichi, furmazione di l'impiegati, etc. Una campagna hè offerta cum'è una versione demo di u pruduttu, chì include l'implementazione di mudelli è a realizazione di trè attacchi di furmazione.
I suluzioni sopra sò solu una parte di i prudutti dispunibili nantu à u mercatu di furmazione automatizatu di u persunale. Di sicuru, ognunu hà i so vantaghji è disadvantages. Oghje avemu da cunnosce , simulate un attaccu di phishing, è esplora l'opzioni dispunibili.
GoPhish
Dunque, hè ora di praticà. GoPhish ùn hè statu sceltu per casu: hè un strumentu amichevule cù e seguenti caratteristiche:
-
Installazione simplificata è startup.
-
Supportu API REST. Permette di creà dumande da è applicà script automatizati.
-
Interfaccia di cuntrollu grafica cunvene.
-
Cross-piattaforma.
U squadra di sviluppu hà preparatu un eccellente nantu à implementà è cunfigurà GoPhish. In fatti, tuttu ciò chì duvete fà hè di andà , scaricate l'archiviu ZIP per u SO currispundente, eseguite u schedariu binariu internu, dopu chì l'uttellu serà installatu.
NOTA IMPORTANTE!
In u risultatu, duvete riceve in u terminal infurmazione nantu à u portale implementatu, è ancu e dati d'autorizazione (pertinenti per versioni più vechje di a versione 0.10.1). Ùn vi scurdate di assicurà una password per voi stessu!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Capisce a configurazione di GoPhish
Dopu a stallazione, un schedariu di cunfigurazione (config.json) serà creatu in u cartulare di l'applicazione. Descrivimu i paràmetri per cambià:
Chjave
Valeur (valeur par défaut)
discrizzione
admin_server.listen_url
127.0.0.1:3333
L'indirizzu IP di u servitore GoPhish
admin_server.use_tls
sbagliate
Hè TLS utilizatu per cunnette à u servitore GoPhish
admin_server.cert_path
esempiu.crt
Path to certificate SSL for GoPhish admin portal
admin_server.key_path
esempiu.chjave
Percorsu à a chjave privata SSL
phish_server.listen_url
0.0.0.0:80
L'indirizzu IP è u portu induve a pagina di phishing hè ospitata (per difettu hè ospitu in u servitore GoPhish stessu nantu à u portu 80)
—> Andate à u portale di gestione. In u nostru casu: https://127.0.0.1:3333
—> Vi sarà dumandatu di cambià una password abbastanza longa à una più simplice o viceversa.
Crià un prufilu di mittente
Andà à a tabulazione "Invia di Profili" è furnisce infurmazioni nantu à l'utilizatore da quale u nostru mailing serà urigginatu:
Dove:
nomu
Nome di u mittente
From
E-mail di u mittente
Host
Indirizzu IP di u servitore di mail da quale u mail entrante serà ascoltatu.
utilizatore
Login di u contu d'utilizatore di u servitore di mail.
Codice
Password di u contu d'utilizatore di u servitore di mail.
Pudete ancu mandà un missaghju di prova per assicurà u successu di consegna. Salvà i paràmetri cù u buttone "Salvà u prufilu".
Crià un gruppu di destinatari
In seguitu, duvete furmà un gruppu di destinatari di "lettere in catena". Andà à "User & Groups" → "New Group". Ci hè duie manere di aghjunghje: manualmente o impurtà un schedariu CSV.
U sicondu metudu richiede i seguenti campi obbligatori:
-
Nome
-
Casata
-
Malice
-
Position
Per esempiu:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Creazione di un mudellu di e-mail di phishing
Una volta avemu identificatu l'attaccu imaginariu è e vittimi potenziali, avemu bisognu di creà un mudellu cù un missaghju. Per fà questu, andate à a sezione "Modelli di e-mail" → "Nuvelli Templates".
Quandu si formanu un mudellu, hè utilizatu un accostu tecnicu è creativo; un missaghju da u serviziu deve esse specificatu chì serà familiar à l'utilizatori vittime o li pruvucarà una certa reazione. Opzioni pussibuli:
nomu
U nomu di u mudellu
sughjettu
Sughjettu di a lettera
Testu / HTML
Campu per inserisce testu o codice HTML
Gophish supporta l'importazione di lettere, ma creeremu u nostru propiu. Per fà questu, simulemu un scenariu: un utilizatore di a cumpagnia riceve una lettera chì li dumanda di cambià a password da u so email corporativu. Dopu, analizemu a so reazione è fighjemu a nostra "catch".
Avemu aduprà variàbili integrati in u mudellu. Più dettagli ponu esse truvati in quì sopra rùbbrica .
Prima, carchemu u seguente testu:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamIn cunsiquenza, u nome di l'utilizatore serà inseritu automaticamente (sicondu l'elementu "Novu Gruppu") specificatu prima) è u so indirizzu postale serà indicatu.
Dopu, duvemu furnisce un ligame à a nostra risorsa di phishing. Per fà questu, mette in risaltu a parolla "qui" in u testu è selezziunate l'opzione "Link" in u pannellu di cuntrollu.
Puderemu l'URL à a variàbile integrata {{.URL}}, chì compieremu dopu. Serà inseritu automaticamente in u testu di l'email di phishing.
Prima di salvà u mudellu, ùn vi scurdate di attivà l'opzione "Add Tracking Image". Questu aghjunghje un elementu media 1x1 pixel chì tracciarà se l'utilizatore hà apertu l'email.
Dunque, ùn ci hè micca assai, ma prima riassumeremu i passi necessarii dopu à accede à u portale Gophish:
-
Crea un prufilu di mittente;
-
Crea un gruppu di distribuzione induve specificate l'utilizatori;
-
Crea un mudellu di email di phishing.
D'accordu, a stallazione ùn hà micca pigliatu assai tempu è simu quasi pronti per lancià a nostra campagna. Tuttu ciò chì resta hè di aghjunghje una pagina di phishing.
Crià una pagina di phishing
Andà à a tabulazione "Pagine di destinazione".
Ci sarà dumandatu à specificà u nome di l'ughjettu. Hè pussibule impurtà u situ fonte. In u nostru esempiu, aghju pruvatu à specificà u portale web di travagliu di u servitore di mail. In cunsiquenza, hè statu impurtatu cum'è codice HTML (ma micca cumplettamente). I seguenti sò opzioni interessanti per catturà input di l'utilizatori:
-
Capture Dati Inviati. Se a pagina di u situ specificatu cuntene diverse forme di input, allora tutti i dati seranu arregistrati.
-
Capture Passwords - catturà e password inserite. I dati sò scritti in a basa di dati GoPhish senza criptografia, cum'è.
Inoltre, pudemu usà l'opzione "Redirect to", chì redirigerà l'utilizatore à una pagina specifica dopu avè inseritu credenziali. Lasciami ricurdà chì avemu stabilitu un scenariu induve l'utilizatore hè dumandatu à cambià a password per l'email corporativu. Per fà questu, hè offrittu una pagina di portale d'autorizazione di mail falsa, dopu chì l'utilizatore pò esse mandatu à qualsiasi risorsa di a cumpagnia dispunibule.
Ùn vi scurdate di salvà a pagina cumpleta è vai à a rùbbrica "New Campaign".
Lanciamentu di a pesca GoPhish
Avemu furnitu tutte l'infurmazioni necessarii. In a tabulazione "Nova Campagna", crea una nova campagna.
Lanciamentu di a campagna
Dove:
nomu
Nome di a campagna
Template di e-mail
mudellu di messagiu
Pagina di Landing
Pagina di phishing
URL
IP di u vostru servitore GoPhish (deve avè una accessibilità di a rete cù l'ospite di a vittima)
Date Launch
Data di principiu di a campagna
Mandate e-mail da
Data di fine di a campagna (mailing distribuitu uniformemente)
Invià u prufilu
U prufilu di u mittente
gruppi
U gruppu di destinatariu di posta
Dopu à u principiu, pudemu sempre cunnosce e statistiche, chì indicanu: missaghji mandati, missaghji aperti, cliccà nantu à i ligami, dati lasciati trasferiti à spam.
Da e statistiche vedemu chì 1 missaghju hè statu mandatu, cuntrollemu u mail da u latu di u destinatariu:
Infatti, a vittima hà ricevutu successu un email di phishing chì li dumandava di seguità un ligame per cambià a password di u so contu corporativu. Facemu l'azzioni dumandate, simu mandati à e Pagine di destinazione, chì ne di e statistiche?
In u risultatu, u nostru utilizatore hà clicatu nantu à un ligame di phishing, induve ellu puderia lascià l'infurmazioni di u so contu.
Note de l'auteur : u prucessu di entrata di dati ùn hè statu arregistratu per via di l'usu di un layout di prova, ma una tale opzione esiste. Tuttavia, u cuntenutu ùn hè micca criptatu è hè almacenatu in a basa di dati GoPhish, tenite questu in mente.
Inveci di 'na cunchiusioni
Oghje avemu toccu u tema attuale di a furmazione automatizata per l'impiegati in modu di prutezzione di l'attacchi di phishing è di sviluppà l'alfabetizazione IT in elli. Gophish hè statu implementatu cum'è una suluzione assequible, chì hà dimustratu boni risultati in quantu à u tempu di implementazione è u risultatu. Cù sta strumentu accessibile, pudete audità i vostri impiegati è generà rapporti nantu à u so cumpurtamentu. Sè site interessatu à stu pruduttu, offremu assistenza à implementà è audità i vostri impiegati ([email prutettu]).
In ogni casu, ùn avemu micca da firmà à rivisione una solu suluzione è prughjettanu di cuntinuà u ciculu, induve parleremu di suluzioni Enterprise per l'automatizazione di u prucessu di furmazione è u monitoraghju di a sicurità di l'impiegati. Resta cun noi è stai attenti !
Source: www.habr.com