Heutzutage wendet ein Netzwerkadministrator oder Informationssicherheitsingenieur viel Zeit und Mühe auf, um den Umfang eines Unternehmensnetzwerks vor verschiedenen Bedrohungen zu schützen und neue Systeme zur Vorbeugung und Überwachung von Ereignissen zu beherrschen, aber selbst dies garantiert keine vollständige Sicherheit. Social Engineering wird von Angreifern aktiv genutzt und kann schwerwiegende Folgen haben.
Wie oft haben Sie sich dabei ertappt, dass Sie gedacht haben: „Es wäre schön, für Mitarbeiter einen Test zur Informationssicherheitskompetenz durchzuführen“? Leider stoßen die Gedanken auf eine Wand aus Missverständnissen in Form einer großen Anzahl von Aufgaben oder einer begrenzten Zeit im Arbeitstag. Wir planen, Sie über moderne Produkte und Technologien im Bereich der Automatisierung der Personalschulung zu informieren, die keine langwierigen Schulungen für die Pilotierung oder Implementierung erfordern, sondern über alles in Ordnung.
Theoretische Grundlage
Heutzutage werden mehr als 80 % der schädlichen Dateien per E-Mail verbreitet (Daten stammen aus Berichten von Check Point-Spezialisten im vergangenen Jahr, die den Intelligence Reports-Dienst nutzten).
Bericht der letzten 30 Tage zum Angriffsvektor für die Verbreitung schädlicher Dateien (Russland) – Check Point
Dies deutet darauf hin, dass der Inhalt von E-Mail-Nachrichten sehr anfällig für die Ausnutzung durch Angreifer ist. Betrachtet man die gängigsten bösartigen Dateiformate in Anhängen (EXE, RTF, DOC), ist es erwähnenswert, dass sie in der Regel automatische Elemente der Codeausführung (Skripte, Makros) enthalten.
Jahresbericht über Dateiformate in empfangenen Schadnachrichten – Check Point
Wie gehe ich mit diesem Angriffsvektor um? Das Überprüfen von E-Mails erfordert den Einsatz von Sicherheitstools:
-
Antivirus — Signaturerkennung von Bedrohungen.
-
Emulation - eine Sandbox, mit der Anhänge in einer isolierten Umgebung geöffnet werden.
-
Inhaltsbewusstsein — Extrahieren aktiver Elemente aus Dokumenten. Der Benutzer erhält ein bereinigtes Dokument (in der Regel im PDF-Format).
-
AntiSpam – Überprüfung der Empfänger-/Absenderdomäne auf Reputation.
Und theoretisch reicht das aus, aber es gibt noch eine weitere, ebenso wertvolle Ressource für das Unternehmen – Unternehmens- und persönliche Daten der Mitarbeiter. In den letzten Jahren hat die Popularität der folgenden Art von Internetbetrug stark zugenommen:
Phishing (englisches Phishing, von Fishing – Fishing, Fishing) – eine Art Internetbetrug. Ihr Zweck besteht darin, Benutzeridentifikationsdaten zu erhalten. Dazu gehört der Diebstahl von Passwörtern, Kreditkartennummern, Bankkonten und anderen sensiblen Informationen.
Angreifer verbessern Methoden für Phishing-Angriffe, leiten DNS-Anfragen von beliebten Websites um und starten ganze Kampagnen, bei denen sie Social Engineering zum Versenden von E-Mails nutzen.
Um Ihre Firmen-E-Mails vor Phishing zu schützen, empfiehlt es sich daher, zwei Ansätze zu verwenden, deren kombinierter Einsatz zu den besten Ergebnissen führt:
-
Technische Schutzmittel. Wie bereits erwähnt, werden verschiedene Technologien verwendet, um nur legitime E-Mails zu prüfen und weiterzuleiten.
-
Theoretische Schulung des Personals. Dabei geht es um umfassende Tests des Personals, um potenzielle Opfer zu identifizieren. Dann werden sie umgeschult und Statistiken werden ständig erfasst.
Vertraue nicht und überprüfe
Heute sprechen wir über den zweiten Ansatz zur Verhinderung von Phishing-Angriffen, nämlich die automatisierte Personalschulung, um das Gesamtniveau der Sicherheit von Unternehmens- und persönlichen Daten zu erhöhen. Warum könnte das so gefährlich sein?
Social Engineering — psychologische Manipulation von Menschen, um bestimmte Aktionen durchzuführen oder vertrauliche Informationen offenzulegen (in Bezug auf die Informationssicherheit).
Diagramm eines typischen Einsatzszenarios eines Phishing-Angriffs
Werfen wir einen Blick auf ein unterhaltsames Flussdiagramm, das den Verlauf einer Phishing-Kampagne kurz beschreibt. Es gibt verschiedene Phasen:
-
Erhebung von Primärdaten.
Im 21. Jahrhundert ist es schwierig, eine Person zu finden, die nicht in einem sozialen Netzwerk oder in verschiedenen thematischen Foren registriert ist. Natürlich hinterlassen viele von uns detaillierte Informationen über sich selbst: Ort des aktuellen Arbeitsplatzes, Gruppe für Kollegen, Telefon, Post usw. Fügen Sie diesen personalisierten Informationen über die Interessen einer Person hinzu und Sie haben die Daten, um eine Phishing-Vorlage zu erstellen. Auch wenn wir keine Personen mit solchen Informationen finden konnten, gibt es immer eine Unternehmenswebsite, auf der wir alle Informationen finden können, die uns interessieren (Domain-E-Mail, Kontakte, Verbindungen).
-
Start der Kampagne.
Sobald Sie ein Sprungbrett geschaffen haben, können Sie kostenlose oder kostenpflichtige Tools verwenden, um Ihre eigene gezielte Phishing-Kampagne zu starten. Während des Mailing-Vorgangs sammeln Sie Statistiken: zugestellte E-Mails, geöffnete E-Mails, angeklickte Links, eingegebene Anmeldeinformationen usw.
Produkte auf dem Markt
Phishing kann sowohl von Angreifern als auch von Mitarbeitern der Informationssicherheit des Unternehmens genutzt werden, um eine laufende Überprüfung des Verhaltens der Mitarbeiter durchzuführen. Was bietet uns der Markt der kostenlosen und kommerziellen Lösungen für das automatisierte Schulungssystem für Firmenmitarbeiter:
-
ist ein Open-Source-Projekt, mit dem Sie eine Phishing-Kampagne durchführen können, um die IT-Kenntnisse Ihrer Mitarbeiter zu überprüfen. Die Vorteile würde ich in der einfachen Bereitstellung und den minimalen Systemanforderungen sehen. Die Nachteile sind das Fehlen vorgefertigter Mailing-Vorlagen sowie das Fehlen von Tests und Schulungsmaterialien für das Personal.
-
— eine Website mit einer großen Anzahl verfügbarer Produkte für das Testpersonal.
-
— automatisiertes System zur Prüfung und Schulung der Mitarbeiter. Verfügt über verschiedene Produktversionen, die 10 bis mehr als 1000 Mitarbeiter unterstützen. Die Schulungen umfassen theoretische und praktische Aufgaben; anhand der nach einer Phishing-Kampagne gewonnenen Statistiken ist eine Bedarfsermittlung möglich. Die Lösung ist kommerziell und bietet die Möglichkeit einer Probenutzung.
-
— automatisiertes Schulungs- und Sicherheitsüberwachungssystem. Das kommerzielle Produkt bietet regelmäßige Schulungsangriffe, Mitarbeiterschulungen usw. Als Demoversion des Produkts wird eine Kampagne angeboten, die die Bereitstellung von Vorlagen und die Durchführung von drei Trainingsangriffen umfasst.
Die oben genannten Lösungen sind nur ein Teil der verfügbaren Produkte auf dem Markt für automatisierte Personalschulung. Natürlich hat jedes seine eigenen Vor- und Nachteile. Heute werden wir uns kennenlernen , simulieren Sie einen Phishing-Angriff und erkunden Sie die verfügbaren Optionen.
GoPhish
Es ist also Zeit zu üben. GoPhish wurde nicht zufällig ausgewählt: Es ist ein benutzerfreundliches Tool mit den folgenden Funktionen:
-
Vereinfachte Installation und Inbetriebnahme.
-
REST-API-Unterstützung. Ermöglicht das Erstellen von Abfragen und automatisierte Skripte anwenden.
-
Komfortable grafische Bedienoberfläche.
-
Plattformübergreifend.
Das Entwicklungsteam hat ein hervorragendes Ergebnis vorbereitet zum Bereitstellen und Konfigurieren von GoPhish. Eigentlich müssen Sie nur zu gehen , laden Sie das ZIP-Archiv für das entsprechende Betriebssystem herunter, führen Sie die interne Binärdatei aus, woraufhin das Tool installiert wird.
WICHTIGER HINWEIS!
Als Ergebnis sollten Sie im Terminal Informationen über das eingesetzte Portal sowie Autorisierungsdaten erhalten (relevant für Versionen älter als Version 0.10.1). Vergessen Sie nicht, sich ein Passwort zu sichern!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Das GoPhish-Setup verstehen
Nach der Installation wird eine Konfigurationsdatei (config.json) im Anwendungsverzeichnis erstellt. Beschreiben wir die Parameter zum Ändern:
Schlüssel
Wert (Standard)
Beschreibung
admin_server.listen_url
127.0.0.1:3333
IP-Adresse des GoPhish-Servers
admin_server.use_tls
falsch
Wird TLS verwendet, um eine Verbindung zum GoPhish-Server herzustellen
admin_server.cert_path
example.crt
Pfad zum SSL-Zertifikat für das GoPhish-Administratorportal
admin_server.key_path
example.key
Pfad zum privaten SSL-Schlüssel
phish_server.listen_url
0.0.0.0:80
IP-Adresse und Port, auf dem die Phishing-Seite gehostet wird (standardmäßig wird sie auf dem GoPhish-Server selbst auf Port 80 gehostet)
—> Gehen Sie zum Verwaltungsportal. In unserem Fall: https://127.0.0.1:3333
—> Sie werden aufgefordert, ein längeres Passwort in ein einfacheres zu ändern oder umgekehrt.
Erstellen eines Absenderprofils
Gehen Sie zur Registerkarte „Sendeprofile“ und geben Sie Informationen über den Benutzer ein, von dem unser Mailing stammen soll:
Wo:
Name und Vorname
Absender
Aus
E-Mail des Absenders
Gastgeber
IP-Adresse des Mailservers, von dem eingehende E-Mails abgehört werden.
Benutzername
Anmeldung beim Mailserver-Benutzerkonto.
Passwort
Passwort des Mailserver-Benutzerkontos.
Sie können auch eine Testnachricht senden, um den Zustellungserfolg sicherzustellen. Speichern Sie die Einstellungen über die Schaltfläche „Profil speichern“.
Erstellen einer Empfängergruppe
Als nächstes sollten Sie eine Gruppe von „Kettenbrief“-Empfängern bilden. Gehen Sie zu „Benutzer & Gruppen“ → „Neue Gruppe“. Es gibt zwei Möglichkeiten zum Hinzufügen: manuell oder Importieren einer CSV-Datei.
Die zweite Methode erfordert die folgenden Pflichtfelder:
-
Vorname
-
Nachname
-
E-Mail
-
Position
Als Beispiel:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Erstellen einer Phishing-E-Mail-Vorlage
Nachdem wir den imaginären Angreifer und potenzielle Opfer identifiziert haben, müssen wir eine Vorlage mit einer Nachricht erstellen. Gehen Sie dazu in den Bereich „E-Mail-Vorlagen“ → „Neue Vorlagen“.
Bei der Erstellung einer Vorlage wird ein technischer und kreativer Ansatz verwendet; es sollte eine Nachricht des Dienstes angegeben werden, die den betroffenen Benutzern bekannt ist oder bei ihnen eine bestimmte Reaktion hervorruft. Möglichkeiten:
Name und Vorname
Vorlagenname
Betreff
Betreff des Briefes
Text/HTML
Feld zur Eingabe von Text oder HTML-Code
Gophish unterstützt den Import von Briefen, aber wir werden unsere eigenen erstellen. Dazu simulieren wir ein Szenario: Ein Firmenbenutzer erhält einen Brief mit der Aufforderung, das Passwort seiner Firmen-E-Mail zu ändern. Als nächstes analysieren wir seine Reaktion und schauen uns unseren „Fang“ an.
Wir werden integrierte Variablen in der Vorlage verwenden. Weitere Details finden Sie oben in Abschnitt .
Laden wir zunächst den folgenden Text:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamDementsprechend wird der Name des Benutzers automatisch eingetragen (entsprechend dem zuvor angegebenen Punkt „Neue Gruppe“) und seine Postanschrift angegeben.
Als Nächstes sollten wir einen Link zu unserer Phishing-Ressource bereitstellen. Markieren Sie dazu das Wort „hier“ im Text und wählen Sie im Bedienfeld die Option „Link“.
Wir setzen die URL auf die integrierte Variable {{.URL}}, die wir später ausfüllen. Es wird automatisch in den Text der Phishing-E-Mail eingebettet.
Vergessen Sie nicht, vor dem Speichern der Vorlage die Option „Tracking-Bild hinzufügen“ zu aktivieren. Dadurch wird ein 1x1 Pixel großes Medienelement hinzugefügt, das verfolgt, ob der Benutzer die E-Mail geöffnet hat.
Es bleibt also nicht mehr viel übrig, aber zunächst fassen wir die erforderlichen Schritte nach der Anmeldung im Gophish-Portal zusammen:
-
Erstellen Sie ein Absenderprofil.
-
Erstellen Sie eine Verteilergruppe, in der Sie Benutzer angeben.
-
Erstellen Sie eine Phishing-E-Mail-Vorlage.
Stimmen Sie zu, die Einrichtung hat nicht viel Zeit in Anspruch genommen und wir sind fast bereit, unsere Kampagne zu starten. Jetzt muss nur noch eine Phishing-Seite hinzugefügt werden.
Erstellen einer Phishing-Seite
Gehen Sie zum Reiter „Landing Pages“.
Wir werden aufgefordert, den Namen des Objekts anzugeben. Es ist möglich, die Quellsite zu importieren. In unserem Beispiel habe ich versucht, das funktionierende Webportal des Mailservers anzugeben. Dementsprechend wurde es als HTML-Code importiert (wenn auch nicht vollständig). Für die Erfassung von Benutzereingaben gibt es folgende interessante Möglichkeiten:
-
Erfassen Sie übermittelte Daten. Wenn die angegebene Site-Seite verschiedene Eingabeformulare enthält, werden alle Daten erfasst.
-
Passwörter erfassen – Eingegebene Passwörter erfassen. Die Daten werden unverändert unverschlüsselt in die GoPhish-Datenbank geschrieben.
Darüber hinaus können wir die Option „Weiterleiten zu“ verwenden, die den Benutzer nach Eingabe der Anmeldeinformationen auf eine bestimmte Seite umleitet. Ich möchte Sie daran erinnern, dass wir ein Szenario festgelegt haben, in dem der Benutzer aufgefordert wird, das Passwort für die Firmen-E-Mail zu ändern. Dazu wird ihm eine Fake-Mail-Autorisierungsportalseite angeboten, nach der der Benutzer an jede verfügbare Unternehmensressource weitergeleitet werden kann.
Vergessen Sie nicht, die fertige Seite zu speichern und zum Abschnitt „Neue Kampagne“ zu gehen.
Start des GoPhish-Angelns
Wir haben alle notwendigen Informationen bereitgestellt. Erstellen Sie auf der Registerkarte „Neue Kampagne“ eine neue Kampagne.
Starten Sie eine Kampagne
Wo:
Name und Vorname
Kampagnenname
E-Mail-Vorlage
Nachrichtenvorlage
Landing Page
Phishing-Seite
URL
IP Ihres GoPhish-Servers (muss über eine Netzwerkerreichbarkeit mit dem Host des Opfers verfügen)
Erscheinungsdatum
Startdatum der Kampagne
E-Mails senden per
Enddatum der Kampagne (gleichmäßige Verteilung des Mailings)
Profil senden
Absenderprofil
Groups
Mailing-Empfängergruppe
Nach dem Start können wir uns jederzeit mit den Statistiken vertraut machen, die Folgendes anzeigen: gesendete Nachrichten, geöffnete Nachrichten, Klicks auf Links, in Spam übertragene Links.
Aus der Statistik sehen wir, dass 1 Nachricht gesendet wurde. Schauen wir uns die E-Mail auf Seiten des Empfängers an:
Tatsächlich erhielt das Opfer erfolgreich eine Phishing-E-Mail, in der es aufgefordert wurde, einem Link zu folgen, um das Passwort seines Firmenkontos zu ändern. Wir führen die angeforderten Aktionen aus, wir werden zu den Landing Pages weitergeleitet, wie sieht es mit den Statistiken aus?
Infolgedessen klickte unser Benutzer auf einen Phishing-Link, über den er möglicherweise seine Kontoinformationen hinterlassen konnte.
Anmerkung des Verfassers: Der Dateneingabevorgang wurde aufgrund der Verwendung eines Testlayouts nicht aufgezeichnet, eine solche Möglichkeit besteht jedoch. Der Inhalt wird jedoch nicht verschlüsselt und in der GoPhish-Datenbank gespeichert. Bitte beachten Sie dies.
Statt einer Schlussfolgerung
Heute haben wir das aktuelle Thema der Durchführung automatisierter Schulungen für Mitarbeiter angesprochen, um sie vor Phishing-Angriffen zu schützen und IT-Kenntnisse zu entwickeln. Gophish wurde als kostengünstige Lösung eingesetzt, die hinsichtlich der Bereitstellungszeit und des Ergebnisses gute Ergebnisse zeigte. Mit diesem zugänglichen Tool können Sie Ihre Mitarbeiter prüfen und Berichte über deren Verhalten erstellen. Wenn Sie an diesem Produkt interessiert sind, bieten wir Ihnen Unterstützung bei der Einführung und Prüfung Ihrer Mitarbeiter ([E-Mail geschützt] ).
Wir werden uns jedoch nicht damit begnügen, eine Lösung zu prüfen, sondern planen, den Zyklus fortzusetzen, in dem wir über Unternehmenslösungen zur Automatisierung des Schulungsprozesses und zur Überwachung der Mitarbeitersicherheit sprechen werden. Bleiben Sie bei uns und seien Sie wachsam!
Source: habr.com