Hodiaŭ, retadministranto aŭ informa sekureca inĝeniero elspezas multan tempon kaj penadon por protekti la perimetron de entreprena reto de diversaj minacoj, regante novajn sistemojn por preventi kaj monitori eventojn, sed eĉ ĉi tio ne garantias kompletan sekurecon. Socia inĝenierado estas aktive uzata de atakantoj kaj povas havi gravajn sekvojn.
Kiom ofte vi kaptis vin pensante: "Estus bone aranĝi teston por personaro pri informsekureco-legopovo"? Bedaŭrinde, pensoj renkontas muron de miskompreno en la formo de granda nombro da taskoj aŭ limigita tempo en la labortago. Ni planas rakonti al vi pri modernaj produktoj kaj teknologioj en la kampo de aŭtomatigo de persona trejnado, kiu ne postulos longan trejnadon por pilotado aŭ efektivigo, sed pri ĉio en ordo.
Teoria fundamento
Hodiaŭ, pli ol 80% de malicaj dosieroj estas distribuitaj per retpoŝto (datenoj prenitaj de raportoj de Check Point-specialistoj dum la pasinta jaro uzante la Intelligence Reports-servon).
Raporto pri la lastaj 30 tagoj pri la atakvektoro por distribuado de malicaj dosieroj (Rusio) - Check Point
Ĉi tio sugestas, ke la enhavo en retpoŝtaj mesaĝoj estas sufiĉe vundebla al ekspluato de atakantoj. Se ni konsideras la plej popularajn malicajn dosierformatojn en aldonaĵoj (EXE, RTF, DOC), indas noti, ke ili, kiel regulo, enhavas aŭtomatajn elementojn de koda ekzekuto (skriptoj, makrooj).
Jarraporto pri dosierformatoj en ricevitaj malicaj mesaĝoj - Check Point
Kiel trakti ĉi tiun atakvektoron? Kontroli poŝton implicas uzi sekurecajn ilojn:
-
antivirus — subskriba detekto de minacoj.
-
emulación - sablokesto per kiu aldonaĵoj estas malfermitaj en izolita medio.
-
Konscio pri Enhavo — ĉerpi aktivajn elementojn el dokumentoj. La uzanto ricevas purigitan dokumenton (kutime en formato PDF).
-
Kontraŭspamo — kontroli la ricevanto/sendinto domajno por reputacio.
Kaj, teorie, ĉi tio sufiĉas, sed ekzistas alia same valora rimedo por la kompanio - kompaniaj kaj personaj datumoj de dungitoj. En la lastaj jaroj, la populareco de la jena speco de interreta fraŭdo aktive kreskis:
phishing (angle phishing, de fishing - fishing, fishing) - speco de Interreta fraŭdo. Ĝia celo estas akiri uzantajn identigajn datumojn. Ĉi tio inkluzivas la ŝtelon de pasvortoj, kreditkartnumeroj, bankkontoj kaj aliaj sentemaj informoj.
Atakantoj plibonigas metodojn de phishing-atakoj, redirektas DNS-petojn de popularaj retejoj kaj lanĉas tutajn kampanjojn uzante socian inĝenieristikon por sendi retpoŝtojn.
Tiel, por protekti vian kompanian retpoŝton kontraŭ phishing, oni rekomendas uzi du alirojn, kaj ilia kombinita uzo kondukas al la plej bonaj rezultoj:
-
Teknikaj protektaj iloj. Kiel menciite antaŭe, diversaj teknologioj estas uzataj por kontroli kaj plusendi nur laŭleĝan poŝton.
-
Teoria trejnado de dungitaro. Ĝi konsistas el ampleksa testado de personaro por identigi eblajn viktimojn. Tiam ili estas retrejnitaj kaj statistikoj estas konstante registritaj.
Ne fidu kaj kontrolu
Hodiaŭ ni parolos pri la dua aliro al preventado de phishing-atakoj, nome aŭtomata trejnado de personaro por pliigi la ĝeneralan nivelon de sekureco de kompaniaj kaj personaj datumoj. Kial ĉi tio povus esti tiel danĝera?
socia inĝenierado — psikologia manipulado de homoj por fari iujn agojn aŭ malkaŝi konfidencajn informojn (rilate al informa sekureco).
Diagramo de tipa phishing ataka deplojo scenaro
Ni rigardu amuzan fludiagramon, kiu mallonge skizas la vojaĝon de phishing kampanjo. Ĝi havas malsamajn stadiojn:
-
Kolekto de primaraj datumoj.
En la 21-a jarcento, estas malfacile trovi homon, kiu ne estas registrita en iu ajn socia reto aŭ en diversaj temaj forumoj. Nature, multaj el ni lasas detalajn informojn pri ni mem: laborloko, grupo por kolegoj, telefono, poŝto ktp. Aldonu al ĉi tio personecigitajn informojn pri la interesoj de homo kaj vi havas la datumojn por formi phishing-ŝablonon. Eĉ se ni ne povus trovi homojn kun tiaj informoj, ĉiam ekzistas kompanio retejo, kie ni povas trovi ĉiujn informojn pri kiuj ni interesiĝas (domajna retpoŝto, kontaktoj, konektoj).
-
Lanĉo de la kampanjo.
Post kiam vi havas saltotablon en loko, vi povas uzi senpagajn aŭ pagajn ilojn por lanĉi vian propran celitan phishing kampanjon. Dum la dissendoprocezo, vi amasigos statistikojn: poŝto liverita, poŝto malfermita, ligiloj klakitaj, akreditaĵoj enigitaj ktp.
Produktoj sur la merkato
Phishing povas esti uzata de kaj atakantoj kaj dungitoj pri informa sekureco de kompanio por fari daŭran revizion de dungita konduto. Kion ofertas al ni la merkato de senpagaj kaj komercaj solvoj por la aŭtomata trejnada sistemo por dungitoj de la kompanio:
-
estas malfermkoda projekto, kiu permesas vin disfaldi kampanjon pri phishing por kontroli la IT-lerecon de viaj dungitoj. Mi konsiderus la avantaĝojn kiel facileco de deplojo kaj minimumaj sistemaj postuloj. La malavantaĝoj estas la manko de pretaj poŝtŝablonoj, la manko de testoj kaj trejnmaterialoj por dungitoj.
-
— retejo kun granda nombro da disponeblaj produktoj por provi personaron.
-
— aŭtomatigita sistemo por testado kaj trejnado de dungitoj. Havas diversajn versiojn de produktoj subtenantaj de 10 ĝis pli ol 1000 dungitoj. La trejnaj kursoj inkluzivas teorion kaj praktikajn taskojn; eblas identigi bezonojn surbaze de la statistikoj akiritaj post phishing kampanjo. La solvo estas komerca kun la ebleco de prova uzo.
-
- aŭtomatigita trejnado kaj sekureca monitora sistemo. La komerca produkto ofertas periodajn trejnajn atakojn, dungitan trejnadon ktp. Kampanjo estas ofertita kiel demo-versio de la produkto, kiu inkluzivas deploji ŝablonojn kaj fari tri trejnajn atakojn.
La supraj solvoj estas nur parto de la disponeblaj produktoj sur la aŭtomatigita dungista trejnada merkato. Kompreneble, ĉiu havas siajn proprajn avantaĝojn kaj malavantaĝojn. Hodiaŭ ni konatiĝos , simulu phishing-atakon, kaj esploru la disponeblajn eblojn.
GoPhish
Do, estas tempo por ekzerci. GoPhish ne estis elektita hazarde: ĝi estas uzebla ilo kun la sekvaj funkcioj:
-
Simpligita instalado kaj ekfunkciigo.
-
REST API-subteno. Permesas krei demandojn de kaj apliki aŭtomatigitajn skriptojn.
-
Konvena grafika kontrola interfaco.
-
Transplataforma.
La teamo de disvolviĝo preparis bonegan pri deplojado kaj agordo de GoPhish. Fakte, ĉio, kion vi devas fari, estas iri al , elŝutu la ZIP-arkivon por la responda OS, rulu la internan binaran dosieron, post kiu la ilo estos instalita.
GRAVA NOTO!
Kiel rezulto, vi devus ricevi en la terminalo informojn pri la deplojita portalo, kaj ankaŭ rajtigajn datumojn (gravajn por versioj pli malnovaj ol versio 0.10.1). Ne forgesu sekurigi pasvorton por vi mem!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Kompreni la aranĝon de GoPhish
Post instalado, agorda dosiero (config.json) estos kreita en la aplikaĵa dosierujo. Ni priskribu la parametrojn por ŝanĝi ĝin:
Ключ
Valoro (defaŭlta)
Priskribo
admin_server.listen_url
127.0.0.1:3333
IP-adreso de GoPhish-servilo
admin_server.use_tls
falsa
Ĉu TLS estas uzata por konekti al la servilo GoPhish
admin_server.cert_path
ekzemplo.crt
Vojo al SSL-atestilo por GoPhish-administra portalo
admin_server.key_path
ekzemplo.ŝlosilo
Vojo al privata SSL-ŝlosilo
phish_server.listen_url
0.0.0.0:80
IP-adreso kaj haveno kie la phishing paĝo estas gastigita (defaŭlte ĝi estas gastigita sur la GoPhish-servilo mem sur la haveno 80)
—> Iru al la mastruma portalo. En nia kazo: https://127.0.0.1:3333
—> Oni petos vin ŝanĝi sufiĉe longan pasvorton al pli simpla aŭ inverse.
Kreado de sendanto-profilo
Iru al la langeto "Sendado de Profiloj" kaj donu informojn pri la uzanto de kiu devenos nia retpoŝto:
Kie:
Nomo
Nomo de sendinto
de
Retpoŝto de sendinto
gastiganto
IP-adreso de la poŝtservilo de kiu envenanta poŝto estos aŭskultata.
uzantonomo
Ensaluto de uzantkonto de retservilo.
Pasvorto
Pasvorto de uzantkonto de poŝtservilo.
Vi ankaŭ povas sendi testan mesaĝon por certigi liveran sukceson. Konservu la agordojn per la butono "Konservi profilon".
Krei grupon de ricevantoj
Poste, vi devus formi grupon de "ĉenleteroj" ricevantoj. Iru al "Uzanto & Grupoj" → "Nova Grupo". Estas du manieroj aldoni: permane aŭ importi CSV-dosieron.
La dua metodo postulas la jenajn postulatajn kampojn:
-
unua Nomo
-
Familia nomo
-
retpoŝto
-
pozicio
Kiel ekzemplo:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Krei Retpoŝtan Ŝablonon pri Phishing
Post kiam ni identigis la imagan atakanton kaj eblajn viktimojn, ni devas krei ŝablonon kun mesaĝo. Por fari tion, iru al la sekcio "Retpoŝtaj Ŝablonoj" → "Novaj Ŝablonoj".
Kiam oni formas ŝablonon, oni uzas teknikan kaj kreivan aliron; mesaĝo de la servo estu specifita, kiu estos konata al la viktimuzantoj aŭ kaŭzos al ili certan reagon. Eblaj opcioj:
Nomo
Ŝablononomo
temo
Letero temo
Teksto/HTML
Kampo por enigi tekston aŭ HTML-kodon
Gophish subtenas importadon de literoj, sed ni kreos niajn proprajn. Por fari tion, ni simulas scenaron: firmao-uzanto ricevas leteron petante lin ŝanĝi la pasvorton de sia kompania retpoŝto. Poste, ni analizu lian reagon kaj rigardu nian "kaptaĵon".
Ni uzos enkonstruitajn variablojn en la ŝablono. Pliaj detaloj troveblas en la supre sekcio .
Unue, ni ŝarĝu la sekvan tekston:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamSekve, la nomo de la uzanto estos aŭtomate enigita (laŭ la antaŭe specifita "Nova Grupo") kaj lia poŝta adreso estos indikita.
Poste, ni devus provizi ligon al nia phishing-rimedo. Por fari tion, reliefigu la vorton "ĉi tie" en la teksto kaj elektu la opcion "Ligo" sur la kontrolpanelo.
Ni agordos la URL al la enkonstruita variablo {{.URL}}, kiun ni plenigos poste. Ĝi estos aŭtomate enigita en la tekston de la retpoŝto pri phishing.
Antaŭ konservi la ŝablonon, ne forgesu ebligi la opcion "Aldoni Spuran Bildon". Ĉi tio aldonos 1x1-pikselan amaskomunikilaron, kiu spuros ĉu la uzanto malfermis la retpoŝton.
Do, ne multe restas, sed unue ni resumos la postulatajn paŝojn post ensaluto en la Gophish-portalon:
-
Kreu sendantoprofilon;
-
Kreu distribugrupon, kie vi specifas uzantojn;
-
Kreu retpoŝtan ŝablonon pri phishing.
Konsentu, la aranĝo ne prenis multe da tempo kaj ni preskaŭ pretas lanĉi nian kampanjon. Restas nur aldoni phishing-paĝon.
Kreante phishing paĝon
Iru al la langeto "Alterpaj Paĝoj".
Oni petos nin specifi la nomon de la objekto. Eblas importi la fontan retejon. En nia ekzemplo, mi provis specifi la funkciantan retportalon de la poŝtservilo. Sekve, ĝi estis importita kiel HTML-kodo (kvankam ne tute). La jenaj estas interesaj opcioj por kapti uzantan enigon:
-
Kapti Submetitajn Datumojn. Se la specifita retejo-paĝo enhavas diversajn enigformularojn, tiam ĉiuj datumoj estos registritaj.
-
Kapti Pasvortojn - kaptu enigitajn pasvortojn. Datumoj estas skribitaj al la datumbazo GoPhish sen ĉifrado, kiel estas.
Aldone, ni povas uzi la opcion "Alidirekti al", kiu redirektos la uzanton al specifa paĝo post enigo de akreditaĵoj. Mi memorigu vin, ke ni starigis scenaron, kie la uzanto estas petata ŝanĝi la pasvorton por kompania retpoŝto. Por fari tion, oni proponas al li falsan retpoŝtan rajtigan portalpaĝon, post kiu la uzanto povas esti sendita al iu ajn disponebla firmaa rimedo.
Ne forgesu konservi la kompletigitan paĝon kaj iri al la sekcio "Nova Kampanjo".
Lanĉo de GoPhish-fiŝkaptado
Ni provizis ĉiujn necesajn informojn. En la langeto "Nova Kampanjo", kreu novan kampanjon.
Lanĉi kampanjon
Kie:
Nomo
Nomo de la kampanjo
Retpoŝta Ŝablono
Mesaĝa ŝablono
surteriĝo Paĝo
Phishing paĝo
URL
IP de via GoPhish-servilo (devas havi retatingeblecon kun la gastiganto de la viktimo)
Ĵeto Dato
Dato de komenco de kampanjo
Sendu Retpoŝtojn Per
Findato de kampanjo (poŝto distribuita egale)
Sendante Profilon
Sendanto-profilo
Grupoj
Poŝta ricevantogrupo
Post la komenco, ni ĉiam povas konatiĝi kun la statistikoj, kiuj indikas: senditaj mesaĝoj, malfermitaj mesaĝoj, klakoj sur ligiloj, lasitaj datumoj transdonitaj al spamo.
El la statistiko ni vidas, ke 1 mesaĝo estis sendita, ni kontrolu la poŝton de la flanko de la ricevanto:
Efektive, la viktimo sukcese ricevis phishing-retpoŝton petante lin sekvi ligilon por ŝanĝi sian kompanian konton pasvorton. Ni plenumas la petitajn agojn, ni estas senditaj al la Landaj Paĝoj, kio pri la statistiko?
Kiel rezulto, nia uzanto klakis sur phishing ligilo, kie li eble povus lasi sian kontinformon.
Noto de la aŭtoro: la procezo de eniro de datumoj ne estis registrita pro la uzo de testa aranĝo, sed tia opcio ekzistas. Tamen, la enhavo ne estas ĉifrita kaj estas konservita en la datumbazo GoPhish, bonvolu memori tion.
Anstataŭ konkludo
Hodiaŭ ni tuŝis la nunan temon fari aŭtomatigitan trejnadon por dungitoj por protekti ilin kontraŭ phishing-atakoj kaj evoluigi IT-lerecon en ili. Gophish estis deplojita kiel pagebla solvo, kiu montris bonajn rezultojn laŭ deplojtempo kaj rezulto. Kun ĉi tiu alirebla ilo, vi povas revizii viajn dungitojn kaj generi raportojn pri ilia konduto. Se vi interesiĝas pri ĉi tiu produkto, ni ofertas helpon por disfaldi ĝin kaj revizii viajn dungitojn ([retpoŝte protektita]).
Tamen, ni ne ĉesos revizii unu solvon kaj planas daŭrigi la ciklon, kie ni parolos pri Enterprise-solvoj por aŭtomatigi la trejnan procezon kaj monitori dungitan sekurecon. Restu kun ni kaj estu vigla!
fonto: www.habr.com