I dag bruger en netværksadministrator eller informationssikkerhedsingeniør meget tid og kræfter på at beskytte omkredsen af et virksomhedsnetværk mod forskellige trusler og mestre nye systemer til at forhindre og overvåge hændelser, men selv dette garanterer ikke fuldstændig sikkerhed. Social engineering bruges aktivt af angribere og kan have alvorlige konsekvenser.
Hvor ofte har du fanget dig selv i at tænke: "Det ville være rart at arrangere en test for personalet om informationssikkerhedskompetence"? Tankerne løber desværre ind i en mur af misforståelser i form af et stort antal opgaver eller begrænset tid i arbejdsdagen. Vi planlægger at fortælle dig om moderne produkter og teknologier inden for automatisering af personaleuddannelse, som ikke vil kræve langvarig træning til pilotering eller implementering, men om alt i orden.
Teoretisk grundlag
I dag distribueres mere end 80 % af ondsindede filer via e-mail (data hentet fra rapporter fra Check Point-specialister i løbet af det seneste år ved hjælp af Intelligence Reports-tjenesten).
Rapport for de sidste 30 dage om angrebsvektoren til distribution af ondsindede filer (Rusland) - Check Point
Dette tyder på, at indholdet i e-mail-meddelelser er ret sårbart over for udnyttelse af angribere. Hvis vi overvejer de mest populære ondsindede filformater i vedhæftede filer (EXE, RTF, DOC), er det værd at bemærke, at de som regel indeholder automatiske elementer af kodeudførelse (scripts, makroer).
Årsrapport om filformater i modtagne ondsindede beskeder - Check Point
Hvordan skal man håndtere denne angrebsvektor? Tjek mail involverer brug af sikkerhedsværktøjer:
-
antivirus — signaturdetektering af trusler.
-
Emulation - en sandkasse, hvormed tilbehør åbnes i et isoleret miljø.
-
Indholdsbevidsthed — udtrækning af aktive elementer fra dokumenter. Brugeren modtager et renset dokument (normalt i PDF-format).
-
Anti Spam — kontrol af modtager-/afsenderdomænet for omdømme.
Og i teorien er dette nok, men der er en anden lige så værdifuld ressource for virksomheden - virksomhedens og personlige data om medarbejdere. I de senere år er populariteten af følgende type internetsvindel vokset aktivt:
Phishing (Engelsk phishing, fra fiskeri - fiskeri, fiskeri) - en form for internetsvindel. Dens formål er at indhente brugeridentifikationsdata. Dette omfatter tyveri af adgangskoder, kreditkortnumre, bankkonti og andre følsomme oplysninger.
Angribere forbedrer metoder til phishing-angreb, omdirigerer DNS-anmodninger fra populære websteder og lancerer hele kampagner ved hjælp af social engineering til at sende e-mails.
For at beskytte din virksomheds-e-mail mod phishing anbefales det derfor at bruge to tilgange, og deres kombinerede brug fører til de bedste resultater:
-
Tekniske beskyttelsesværktøjer. Som tidligere nævnt bruges forskellige teknologier til kun at kontrollere og videresende legitim post.
-
Teoretisk uddannelse af personale. Den består af omfattende test af personale for at identificere potentielle ofre. Derefter omskoles de, og der bliver løbende registreret statistik.
Stol ikke på og tjek
I dag vil vi tale om den anden tilgang til at forhindre phishing-angreb, nemlig automatiseret personaletræning for at øge det overordnede sikkerhedsniveau for virksomheds- og personlige data. Hvorfor kunne dette være så farligt?
social ingeniørkunst — psykologisk manipulation af mennesker for at udføre bestemte handlinger eller afsløre fortrolige oplysninger (i relation til informationssikkerhed).
Diagram over et typisk scenarie for implementering af phishing-angreb
Lad os tage et kig på et sjovt flowchart, der kort skitserer rejsen for en phishing-kampagne. Det har forskellige stadier:
-
Indsamling af primære data.
I det 21. århundrede er det svært at finde en person, der ikke er registreret på noget socialt netværk eller på forskellige tematiske fora. Mange af os efterlader naturligvis detaljerede oplysninger om os selv: nuværende arbejdssted, gruppe for kolleger, telefon, mail osv. Tilføj til dette personlig information om en persons interesser, og du har dataene til at danne en phishing-skabelon. Selvom vi ikke kunne finde personer med sådanne oplysninger, er der altid en virksomheds hjemmeside, hvor vi kan finde alle de oplysninger, vi er interesserede i (domæne-e-mail, kontakter, forbindelser).
-
Lancering af kampagnen.
Når du har et springbræt på plads, kan du bruge gratis eller betalte værktøjer til at starte din egen målrettede phishing-kampagne. Under forsendelsesprocessen vil du akkumulere statistik: post leveret, post åbnet, klik på links, indtastede legitimationsoplysninger osv.
Produkter på markedet
Phishing kan bruges af både hackere og medarbejdere i virksomhedens informationssikkerhed for at udføre en løbende revision af medarbejdernes adfærd. Hvad tilbyder markedet for gratis og kommercielle løsninger til det automatiserede træningssystem for virksomhedens medarbejdere os:
-
er et open source-projekt, der giver dig mulighed for at implementere en phishing-kampagne for at kontrollere dine medarbejderes it-færdigheder. Jeg vil betragte fordelene som let implementering og minimale systemkrav. Ulemperne er manglen på færdige mailskabeloner, manglen på tests og træningsmaterialer til personalet.
-
— et websted med et stort antal tilgængelige produkter til testpersonale.
-
— automatiseret system til test og uddannelse af medarbejdere. Har forskellige versioner af produkter, der understøtter fra 10 til mere end 1000 ansatte. Kurserne indeholder teori og praktiske opgaver, det er muligt at identificere behov ud fra de statistikker, der opnås efter en phishing-kampagne. Løsningen er kommerciel med mulighed for prøvebrug.
-
— automatiseret uddannelses- og sikkerhedsovervågningssystem. Det kommercielle produkt tilbyder periodiske træningsangreb, medarbejdertræning mv. En kampagne tilbydes som en demoversion af produktet, som omfatter implementering af skabeloner og udførelse af tre træningsangreb.
Ovenstående løsninger er kun en del af de tilgængelige produkter på markedet for automatiseret personaleuddannelse. Selvfølgelig har hver deres fordele og ulemper. I dag skal vi stifte bekendtskab med , simuler et phishing-angreb og udforsk de tilgængelige muligheder.
GoPhish
Så det er tid til at øve sig. GoPhish blev ikke valgt tilfældigt: det er et brugervenligt værktøj med følgende funktioner:
-
Forenklet installation og opstart.
-
REST API-understøttelse. Giver dig mulighed for at oprette forespørgsler fra og anvende automatiserede scripts.
-
Praktisk grafisk kontrolgrænseflade.
-
Cross-platform.
Udviklingsteamet har forberedt en fremragende om implementering og konfiguration af GoPhish. Faktisk er alt hvad du skal gøre at gå til , download ZIP-arkivet for det tilsvarende OS, kør den interne binære fil, hvorefter værktøjet vil blive installeret.
VIGTIG NOTE!
Som følge heraf bør du i terminalen modtage information om den installerede portal samt autorisationsdata (relevant for versioner ældre end version 0.10.1). Glem ikke at sikre dig en adgangskode!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Forståelse af GoPhish-opsætningen
Efter installationen vil en konfigurationsfil (config.json) blive oprettet i applikationsmappen. Lad os beskrive parametrene for at ændre det:
nøgle
Værdi (standard)
beskrivelse
admin_server.listen_url
127.0.0.1:3333
GoPhish-serverens IP-adresse
admin_server.use_tls
falsk
Bruges TLS til at oprette forbindelse til GoPhish-serveren
admin_server.cert_path
eksempel.crt
Sti til SSL-certifikat for GoPhish-adminportal
admin_server.key_path
eksempel.nøgle
Sti til privat SSL-nøgle
phish_server.listen_url
0.0.0.0:80
IP-adresse og port, hvor phishing-siden er hostet (som standard hostes den på selve GoPhish-serveren på port 80)
—> Gå til ledelsesportalen. I vores tilfælde: https://127.0.0.1:3333
—> Du bliver bedt om at ændre en ret lang adgangskode til en enklere eller omvendt.
Oprettelse af en afsenderprofil
Gå til fanen "Sende profiler" og indtast oplysninger om den bruger, som vores mailing kommer fra:
Hvor:
Navn
Afsender navn
Fra
Afsenderens e-mail
Host
IP-adressen på den mailserver, hvorfra indgående mail vil blive lyttet til.
Brugernavn
Mailserver brugerkonto login.
Adgangskode
Mail server brugerkonto adgangskode.
Du kan også sende en testmeddelelse for at sikre leveringssucces. Gem indstillingerne med knappen "Gem profil".
Oprettelse af en gruppe af modtagere
Dernæst skal du danne en gruppe af "kædebreve"-modtagere. Gå til "Bruger & grupper" → "Ny gruppe". Der er to måder at tilføje: manuelt eller import af en CSV-fil.
Den anden metode kræver følgende obligatoriske felter:
-
Fornavn
-
Efternavn
-
E-mail
-
Position
Som et eksempel:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Oprettelse af en phishing-e-mail-skabelon
Når vi har identificeret den imaginære angriber og potentielle ofre, skal vi lave en skabelon med et budskab. For at gøre dette skal du gå til sektionen "E-mail-skabeloner" → "Nye skabeloner".
Når der dannes en skabelon, anvendes en teknisk og kreativ tilgang; en besked fra tjenesten bør specificeres, som vil være bekendt for ofrets brugere eller vil forårsage dem en vis reaktion. Mulige muligheder:
Navn
Skabelonnavn
Emne
Brevemne
Tekst / HTML
Felt til indtastning af tekst eller HTML-kode
Gophish understøtter import af bogstaver, men vi laver vores egne. For at gøre dette simulerer vi et scenarie: en virksomhedsbruger modtager et brev, der beder ham om at ændre adgangskoden fra sin virksomheds-e-mail. Lad os derefter analysere hans reaktion og se på vores "fangst".
Vi vil bruge indbyggede variable i skabelonen. Flere detaljer kan findes i ovenstående sektion .
Lad os først indlæse følgende tekst:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamFølgelig vil brugerens navn automatisk blive indtastet (i henhold til den tidligere angivne "Ny gruppe"), og hans postadresse vil blive angivet.
Dernæst skal vi give et link til vores phishing-ressource. For at gøre dette skal du fremhæve ordet "her" i teksten og vælge "Link" på kontrolpanelet.
Vi sætter URL'en til den indbyggede variabel {{.URL}}, som vi udfylder senere. Det vil automatisk blive indlejret i teksten i phishing-e-mailen.
Inden du gemmer skabelonen, skal du ikke glemme at aktivere "Tilføj sporingsbillede". Dette vil tilføje et 1x1 pixel medieelement, der sporer, om brugeren har åbnet e-mailen.
Så der er ikke meget tilbage, men først vil vi opsummere de nødvendige trin efter at have logget ind på Gophish-portalen:
-
Opret en afsenderprofil;
-
Opret en distributionsgruppe, hvor du angiver brugere;
-
Opret en phishing-e-mail-skabelon.
Enig, opsætningen tog ikke meget tid, og vi er næsten klar til at lancere vores kampagne. Det eneste, der er tilbage, er at tilføje en phishing-side.
Oprettelse af en phishing-side
Gå til fanen "Landingssider".
Vi bliver bedt om at angive navnet på objektet. Det er muligt at importere kildesiden. I vores eksempel forsøgte jeg at angive den fungerende webportal for mailserveren. Derfor blev det importeret som HTML-kode (omend ikke fuldstændigt). Følgende er interessante muligheder for at fange brugerinput:
-
Fang indsendte data. Hvis den angivne side indeholder forskellige inputformularer, vil alle data blive registreret.
-
Capture Passwords - optag indtastede adgangskoder. Data skrives til GoPhish-databasen uden kryptering, som de er.
Derudover kan vi bruge indstillingen "Omdiriger til", som omdirigerer brugeren til en bestemt side efter at have indtastet legitimationsoplysninger. Lad mig minde dig om, at vi har sat et scenarie, hvor brugeren bliver bedt om at ændre adgangskoden til virksomhedens e-mail. For at gøre dette tilbydes han en falsk mail-autorisationsportalside, hvorefter brugeren kan sendes til enhver tilgængelig virksomhedsressource.
Glem ikke at gemme den færdige side og gå til sektionen "Ny kampagne".
Lancering af GoPhish fiskeri
Vi har givet alle nødvendige oplysninger. På fanen "Ny kampagne" skal du oprette en ny kampagne.
Start en kampagne
Hvor:
Navn
Kampagnenavn
E-mail-skabelon
Besked skabelon
Landing Page
Phishing-side
URL
IP på din GoPhish-server (skal have netværkstilgængelighed hos ofrets vært)
Frokost aftale
Kampagnens startdato
Send e-mails af
Kampagnens slutdato (mailing fordelt jævnt)
Sender profil
Afsenderprofil
Grupper
Sendende modtagergruppe
Efter starten kan vi altid stifte bekendtskab med statistikken, som angiver: sendte beskeder, åbnede beskeder, klik på links, venstre data overført til spam.
Fra statistikken ser vi, at 1 besked blev sendt, lad os tjekke mailen fra modtagerens side:
Faktisk modtog offeret med succes en phishing-e-mail, der bad ham om at følge et link for at ændre adgangskoden til sin virksomhedskonto. Vi udfører de ønskede handlinger, vi bliver sendt til landingssiderne, hvad med statistikken?
Som et resultat klikkede vores bruger på et phishing-link, hvor han potentielt kunne efterlade sine kontooplysninger.
Forfatterens note: dataindtastningsprocessen blev ikke registreret på grund af brugen af et testlayout, men en sådan mulighed eksisterer. Indholdet er dog ikke krypteret og gemmes i GoPhish-databasen, husk venligst dette.
I stedet for en konklusion
I dag kom vi ind på det aktuelle emne om at udføre automatiseret træning for medarbejdere for at beskytte dem mod phishing-angreb og udvikle it-færdigheder i dem. Gophish blev implementeret som en overkommelig løsning, som viste gode resultater med hensyn til implementeringstid og resultat. Med dette tilgængelige værktøj kan du auditere dine medarbejdere og generere rapporter om deres adfærd. Hvis du er interesseret i dette produkt, tilbyder vi hjælp til at implementere det og revidere dine medarbejdere ([e-mail beskyttet]).
Vi vil dog ikke stoppe ved at gennemgå én løsning og planlægge at fortsætte cyklussen, hvor vi vil tale om Enterprise-løsninger til automatisering af uddannelsesprocessen og overvågning af medarbejdernes sikkerhed. Bliv hos os og vær på vagt!
Kilde: www.habr.com