Síťový administrátor nebo technik informační bezpečnosti dnes tráví spoustu času a úsilí ochranou perimetru podnikové sítě před různými hrozbami, ovládá nové systémy prevence a sledování událostí, ale ani to nezaručuje úplnou bezpečnost. Sociální inženýrství útočníci aktivně využívají a může mít vážné následky.
Jak často jste se přistihli při myšlence: „Bylo by hezké uspořádat pro zaměstnance test gramotnosti v oblasti informační bezpečnosti“? Myšlenky bohužel narážejí na stěnu nepochopení v podobě velkého množství úkolů nebo omezeného času v pracovním dni. Plánujeme vám vyprávět o moderních produktech a technologiích v oblasti automatizace školení personálu, které si nevyžádají zdlouhavá školení na pilotáž nebo implementaci, ale o všem v pořádku.
Teoretický základ
Dnes je více než 80 % škodlivých souborů distribuováno prostřednictvím e-mailu (údaje převzaté ze zpráv od specialistů Check Point za poslední rok pomocí služby Intelligence Reports).
Zpráva za posledních 30 dní o útočném vektoru pro distribuci škodlivých souborů (Rusko) – Check Point
To naznačuje, že obsah e-mailových zpráv je poměrně zranitelný vůči zneužití útočníky. Pokud vezmeme v úvahu nejoblíbenější škodlivé formáty souborů v přílohách (EXE, RTF, DOC), stojí za zmínku, že zpravidla obsahují automatické prvky spouštění kódu (skripty, makra).
Výroční zpráva o formátech souborů v přijatých škodlivých zprávách - Check Point
Jak se vypořádat s tímto vektorem útoku? Kontrola pošty zahrnuje použití bezpečnostních nástrojů:
-
antivirus — detekce signatur hrozeb.
-
Emulace - pískoviště, pomocí kterého se přílohy otevírají v izolovaném prostředí.
-
Povědomí o obsahu — extrahování aktivních prvků z dokumentů. Uživatel obdrží vyčištěný dokument (obvykle ve formátu PDF).
-
AntiSpam — kontrola reputace domény příjemce/odesílatele.
A teoreticky to stačí, ale pro firmu existuje ještě jeden neméně cenný zdroj – firemní a osobní data zaměstnanců. V posledních letech aktivně roste popularita následujících typů internetových podvodů:
Phishing (anglicky phishing, from fishing – fishing, fishing) – druh internetového podvodu. Jeho účelem je získat identifikační údaje uživatele. To zahrnuje krádeže hesel, čísel kreditních karet, bankovních účtů a dalších citlivých informací.
Útočníci vylepšují metody phishingových útoků, přesměrovávají požadavky DNS z oblíbených stránek a spouštějí celé kampaně pomocí sociálního inženýrství k odesílání e-mailů.
Pro ochranu vašeho firemního e-mailu před phishingem se tedy doporučuje použít dva přístupy a jejich kombinované použití vede k nejlepším výsledkům:
-
Nástroje technické ochrany. Jak již bylo zmíněno dříve, ke kontrole a přeposílání pouze legitimní pošty se používají různé technologie.
-
Teoretická příprava personálu. Skládá se z komplexního testování personálu k identifikaci potenciálních obětí. Poté se přeškolují a neustále se zaznamenávají statistiky.
Nedůvěřuj a prověřuj
Dnes si povíme o druhém přístupu k prevenci phishingových útoků, a to o automatizovaném školení personálu za účelem zvýšení celkové úrovně zabezpečení firemních a osobních údajů. Proč by to mohlo být tak nebezpečné?
sociální inženýrství — psychologická manipulace s lidmi za účelem provedení určitých akcí nebo zveřejnění důvěrných informací (v souvislosti s bezpečností informací).
Diagram typického scénáře nasazení phishingového útoku
Pojďme se podívat na zábavný vývojový diagram, který stručně nastíní cestu phishingové kampaně. Má různé fáze:
-
Sběr primárních dat.
V 21. století je těžké najít člověka, který není registrován na žádné sociální síti nebo na různých tematických fórech. Přirozeně mnoho z nás o sobě zanechává podrobné informace: místo aktuální práce, skupina pro kolegy, telefon, pošta atd. Přidejte k tomu personalizované informace o zájmech osoby a máte data pro vytvoření phishingové šablony. I když jsme nenašli lidi s takovými informacemi, vždy existuje firemní web, kde najdeme všechny informace, které nás zajímají (e-mail domény, kontakty, spojení).
-
Spuštění kampaně.
Jakmile budete mít vytvořený odrazový můstek, můžete použít bezplatné nebo placené nástroje ke spuštění vlastní cílené phishingové kampaně. Během procesu odesílání pošty budete shromažďovat statistiky: doručená pošta, otevřená pošta, kliknutí na odkazy, zadané přihlašovací údaje atd.
Produkty na trhu
Phishing mohou využívat jak útočníci, tak zaměstnanci podnikové informační bezpečnosti k provádění průběžného auditu chování zaměstnanců. Co nám nabízí trh bezplatných a komerčních řešení pro automatizovaný školicí systém pro zaměstnance firem:
-
je projekt s otevřeným zdrojovým kódem, který vám umožňuje nasadit phishingovou kampaň za účelem kontroly IT gramotnosti vašich zaměstnanců. Za výhody bych považoval jednoduchost nasazení a minimální systémové nároky. Nevýhodou je nedostatek hotových poštovních šablon, nedostatek testů a školicích materiálů pro zaměstnance.
-
— místo s velkým počtem dostupných produktů pro testovací personál.
-
— automatizovaný systém pro testování a školení zaměstnanců. Má různé verze produktů podporující od 10 do více než 1000 zaměstnanců. Tréninkové kurzy zahrnují teoretické i praktické úkoly, potřeby je možné identifikovat na základě statistik získaných po phishingové kampani. Řešení je komerční s možností zkušebního použití.
-
— automatizovaný výcvikový a bezpečnostní monitorovací systém. Komerční produkt nabízí periodické útoky na školení, školení zaměstnanců atd. Kampaň je nabízena jako demo verze produktu, která zahrnuje nasazení šablon a provedení tří tréninkových útoků.
Výše uvedená řešení jsou pouze částí produktů dostupných na trhu automatizovaného školení personálu. Každý má samozřejmě své výhody a nevýhody. Dnes se seznámíme s , simulovat phishingový útok a prozkoumat dostupné možnosti.
GoPhish
Takže je čas cvičit. GoPhish nebyl vybrán náhodou: je to uživatelsky přívětivý nástroj s následujícími funkcemi:
-
Zjednodušená instalace a spuštění.
-
Podpora REST API. Umožňuje vytvářet dotazy z a používat automatické skripty.
-
Pohodlné grafické ovládací rozhraní.
-
Víceplatformní.
Vývojový tým připravil vynikající o nasazení a konfiguraci GoPhish. Ve skutečnosti vše, co musíte udělat, je jít do , stáhněte si archiv ZIP pro odpovídající OS, spusťte interní binární soubor, po kterém bude nástroj nainstalován.
DŮLEŽITÉ OZNÁMENÍ!
V důsledku toho byste měli na terminálu obdržet informace o nasazeném portálu a také autorizační údaje (relevantní pro verze starší než verze 0.10.1). Nezapomeňte si zajistit heslo!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Pochopení nastavení GoPhish
Po instalaci se v adresáři aplikace vytvoří konfigurační soubor (config.json). Pojďme si popsat parametry pro jeho změnu:
Klíč
Hodnota (výchozí)
popis
admin_server.listen_url
127.0.0.1:3333
IP adresa serveru GoPhish
admin_server.use_tls
nepravdivý
Používá se TLS pro připojení k serveru GoPhish
admin_server.cesta_certifikátu
příklad.crt
Cesta k certifikátu SSL pro administrátorský portál GoPhish
admin_server.key_path
příklad.klíč
Cesta k soukromému klíči SSL
phish_server.listen_url
0.0.0.0:80
IP adresa a port, kde je hostována phishingová stránka (ve výchozím nastavení je hostována na samotném GoPhish serveru na portu 80)
—> Přejděte na portál pro správu. V našem případě: https://127.0.0.1:3333
—> Budete požádáni o změnu poměrně dlouhého hesla na jednodušší nebo naopak.
Vytvoření profilu odesílatele
Přejděte na záložku „Profily odesílání“ a uveďte informace o uživateli, od kterého bude naše pošta pocházet:
Kde:
Příjmení
Jméno odesílatele
od
E-mail odesílatele
hostitel
IP adresa poštovního serveru, ze kterého bude naslouchána příchozí pošta.
Uživatelské jméno
Přihlášení k uživatelskému účtu poštovního serveru.
Heslo
Heslo uživatelského účtu poštovního serveru.
Můžete také odeslat zkušební zprávu, abyste zajistili úspěšné doručení. Uložte nastavení pomocí tlačítka „Uložit profil“.
Vytvoření skupiny příjemců
Dále byste měli vytvořit skupinu příjemců „řetězových dopisů“. Přejděte na „Uživatel a skupiny“ → „Nová skupina“. Existují dva způsoby přidání: ručně nebo importem souboru CSV.
Druhá metoda vyžaduje následující povinná pole:
-
Jméno
-
Příjmení
-
email
-
Pozice
Jako příklad lze uvést:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Vytvoření šablony phishingového e-mailu
Jakmile identifikujeme imaginárního útočníka a potenciální oběti, musíme vytvořit šablonu se zprávou. Chcete-li to provést, přejděte do části „Šablony e-mailu“ → „Nové šablony“.
Při tvorbě šablony se používá technický a kreativní přístup, je třeba specifikovat sdělení služby, které bude uživatelům oběti známé nebo u nich vyvolá určitou reakci. Možné možnosti:
Příjmení
Název šablony
Předmět
Předmět dopisu
Text/HTML
Pole pro zadání textu nebo HTML kódu
Gophish podporuje import písmen, ale my si vytvoříme vlastní. Za tímto účelem simulujeme scénář: firemní uživatel obdrží dopis s žádostí o změnu hesla ze svého firemního e-mailu. Dále analyzujme jeho reakci a podívejme se na náš „úlovek“.
Použijeme vestavěné proměnné v šabloně. Více podrobností naleznete výše část .
Nejprve načteme následující text:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamV souladu s tím bude automaticky zadáno jméno uživatele (podle dříve zadané položky „Nová skupina“) a bude uvedena jeho poštovní adresa.
Dále bychom měli poskytnout odkaz na náš zdroj phishingu. Chcete-li to provést, zvýrazněte v textu slovo „zde“ a na ovládacím panelu vyberte možnost „Odkaz“.
Pro adresu URL uvedeme vestavěnou proměnnou {{.URL}}, kterou doplníme později. Bude automaticky vložen do textu phishingového e-mailu.
Před uložením šablony nezapomeňte povolit možnost „Přidat sledovací obrázek“. Tím se přidá mediální prvek 1x1 pixel, který bude sledovat, zda uživatel otevřel e-mail.
Moc toho tedy nezbývá, ale nejprve si shrneme požadované kroky po přihlášení na portál Gophish:
-
Vytvořte profil odesílatele;
-
Vytvořte distribuční skupinu, kde zadáte uživatele;
-
Vytvořte šablonu phishingového e-mailu.
Souhlasíte, nastavení nezabralo mnoho času a jsme téměř připraveni spustit naši kampaň. Zbývá pouze přidat phishingovou stránku.
Vytvoření phishingové stránky
Přejděte na kartu Vstupní stránky.
Budeme vyzváni k zadání názvu objektu. Je možné importovat zdrojový web. V našem příkladu jsem se pokusil specifikovat fungující webový portál poštovního serveru. V souladu s tím byl importován jako HTML kód (i když ne úplně). Následující jsou zajímavé možnosti pro zachycení uživatelského vstupu:
-
Zachyťte odeslaná data. Pokud zadaná stránka webu obsahuje různé vstupní formuláře, budou zaznamenána všechna data.
-
Capture Passwords – zachycení zadaných hesel. Data jsou zapisována do databáze GoPhish bez šifrování, jak je.
Dále můžeme použít volbu „Přesměrovat na“, která uživatele po zadání přihlašovacích údajů přesměruje na zadanou stránku. Dovolte mi připomenout, že jsme nastavili scénář, kdy je uživatel vyzván ke změně hesla pro firemní e-mail. K tomu je mu nabídnuta stránka portálu pro autorizaci falešné pošty, po které může být uživatel odeslán na jakýkoli dostupný zdroj společnosti.
Dokončenou stránku si nezapomeňte uložit a přejděte do sekce „Nová kampaň“.
Spuštění GoPhish rybolovu
Poskytli jsme všechny potřebné informace. Na kartě Nová kampaň vytvořte novou kampaň.
Spuštění kampaně
Kde:
Příjmení
Název kampaně
Šablona e-mailu
Šablona zprávy
Landing Page
Phishingová stránka
URL
IP vašeho GoPhish serveru (musí mít síťovou dosažitelnost s hostitelem oběti)
Datum spuštění
Datum zahájení kampaně
Odeslat e-maily By
Datum ukončení kampaně (rozesílané e-maily rovnoměrně)
Odesílání profilu
Profil odesílatele
Skupiny
Skupina příjemců pošty
Po spuštění se vždy můžeme seznámit se statistikami, které udávají: odeslané zprávy, otevřené zprávy, kliknutí na odkazy, zanechaná data přenesená do spamu.
Ze statistik vidíme, že byla odeslána 1 zpráva, zkontrolujme poštu ze strany příjemce:
Oběť skutečně úspěšně obdržela phishingový e-mail s žádostí, aby použil odkaz ke změně hesla k firemnímu účtu. Provedeme požadované akce, jsme odesláni na Landing Pages, jak je to se statistikami?
V důsledku toho náš uživatel klikl na phishingový odkaz, kde mohl potenciálně zanechat informace o svém účtu.
Poznámka autora: proces zadávání dat nebyl zaznamenán kvůli použití testovacího rozvržení, ale taková možnost existuje. Obsah však není zašifrován a je uložen v databázi GoPhish, mějte to prosím na paměti.
Místo závěru
Dnes jsme se dotkli aktuálního tématu provádění automatizovaných školení pro zaměstnance s cílem chránit je před phishingovými útoky a rozvíjet v nich IT gramotnost. Gophish byl nasazen jako cenově dostupné řešení, které vykazovalo dobré výsledky z hlediska doby nasazení a výsledku. S tímto přístupným nástrojem můžete auditovat své zaměstnance a vytvářet zprávy o jejich chování. Pokud máte o tento produkt zájem, nabízíme pomoc s jeho nasazením a auditováním vašich zaměstnanců ([chráněno e-mailem]).
Nezůstaneme však jen u revize jednoho řešení a plánujeme pokračování cyklu, kde budeme hovořit o Enterprise řešeních pro automatizaci školicího procesu a sledování bezpečnosti zaměstnanců. Zůstaňte s námi a buďte ostražití!
Zdroj: www.habr.com