Hoy en día, un administrador de red o un ingeniero de seguridad de la información dedica mucho tiempo y esfuerzo a proteger el perímetro de una red empresarial de diversas amenazas, dominando nuevos sistemas para prevenir y monitorear eventos, pero ni siquiera esto garantiza una seguridad completa. Los atacantes utilizan activamente la ingeniería social y puede tener graves consecuencias.
¿Con qué frecuencia se ha sorprendido pensando: “Sería bueno organizar una prueba para el personal sobre conocimientos de seguridad de la información”? Desafortunadamente, los pensamientos se topan con un muro de malentendidos en forma de una gran cantidad de tareas o un tiempo limitado en la jornada laboral. Planeamos informarle sobre productos y tecnologías modernos en el campo de la automatización de la formación de personal, que no requerirán una larga formación para el pilotaje o la implementación, sino sobre todo en orden.
Fundamento teórico
Hoy en día, más del 80% de los archivos maliciosos se distribuyen a través del correo electrónico (datos extraídos de los informes de los especialistas de Check Point durante el año pasado utilizando el servicio Intelligence Reports).
Informe de los últimos 30 días sobre el vector de ataque para la distribución de archivos maliciosos (Rusia) - Check Point
Esto sugiere que el contenido de los mensajes de correo electrónico es bastante vulnerable a la explotación por parte de atacantes. Si consideramos los formatos de archivos maliciosos más populares en los archivos adjuntos (EXE, RTF, DOC), vale la pena señalar que, por regla general, contienen elementos de ejecución automática de código (scripts, macros).
Informe anual sobre formatos de archivos en mensajes maliciosos recibidos - Check Point
¿Cómo afrontar este vector de ataque? Revisar el correo implica el uso de herramientas de seguridad:
-
Antivirus — detección de firmas de amenazas.
-
Emulación - una caja de arena con la que se abren archivos adjuntos en un entorno aislado.
-
Conciencia de contenido — extraer elementos activos de documentos. El usuario recibe un documento limpio (normalmente en formato PDF).
-
Antispam — comprobar la reputación del dominio del destinatario/remitente.
Y, en teoría, esto es suficiente, pero hay otro recurso igualmente valioso para la empresa: los datos corporativos y personales de los empleados. En los últimos años, la popularidad de los siguientes tipos de fraude en Internet ha ido creciendo activamente:
Phishing (phishing en inglés, de pesca - pesca, pesca): un tipo de fraude en Internet. Su finalidad es la obtención de datos de identificación del usuario. Esto incluye el robo de contraseñas, números de tarjetas de crédito, cuentas bancarias y otra información confidencial.
Los atacantes están mejorando los métodos de ataques de phishing, redirigiendo solicitudes de DNS de sitios populares y lanzando campañas completas utilizando ingeniería social para enviar correos electrónicos.
Por lo tanto, para proteger su correo electrónico corporativo del phishing, se recomienda utilizar dos enfoques, y su uso combinado conduce a los mejores resultados:
-
Herramientas técnicas de protección.. Como se mencionó anteriormente, se utilizan diversas tecnologías para verificar y reenviar únicamente correo legítimo.
-
Formación teórica del personal.. Consiste en pruebas exhaustivas al personal para identificar posibles víctimas. Luego se les vuelve a capacitar y se registran estadísticas constantemente.
No confíes y comprueba
Hoy hablaremos sobre el segundo enfoque para prevenir ataques de phishing, es decir, la capacitación automatizada del personal para aumentar el nivel general de seguridad de los datos personales y corporativos. ¿Por qué podría ser esto tan peligroso?
Ingeniería social — manipulación psicológica de personas para realizar determinadas acciones o revelar información confidencial (en relación con la seguridad de la información).
Diagrama de un escenario típico de implementación de un ataque de phishing
Echemos un vistazo a un diagrama de flujo divertido que describe brevemente el recorrido de una campaña de phishing. Tiene diferentes etapas:
-
Recopilación de datos primarios.
En el siglo XXI es difícil encontrar una persona que no esté registrada en ninguna red social o en diversos foros temáticos. Naturalmente, muchos de nosotros dejamos información detallada sobre nosotros mismos: lugar de trabajo actual, grupo de compañeros, teléfono, correo, etc. Agregue a esto información personalizada sobre los intereses de una persona y tendrá los datos para formar una plantilla de phishing. Incluso si no pudiéramos encontrar personas con dicha información, siempre hay un sitio web de la empresa donde podemos encontrar toda la información que nos interesa (dominio de correo electrónico, contactos, conexiones).
-
Lanzamiento de la campaña.
Una vez que tenga un trampolín, puede utilizar herramientas gratuitas o de pago para lanzar su propia campaña de phishing dirigida. Durante el proceso de envío de correo, acumulará estadísticas: correo entregado, correo abierto, enlaces en los que se hizo clic, credenciales ingresadas, etc.
Productos en el mercado
Tanto los atacantes como los empleados de seguridad de la información de la empresa pueden utilizar el phishing para realizar una auditoría continua del comportamiento de los empleados. Qué nos ofrece el mercado de soluciones gratuitas y comerciales para el sistema automatizado de formación de empleados de empresas:
-
es un proyecto de código abierto que le permite implementar una campaña de phishing para verificar los conocimientos de TI de sus empleados. Consideraría que las ventajas son la facilidad de implementación y los requisitos mínimos del sistema. Las desventajas son la falta de plantillas de correo listas para usar, la falta de pruebas y materiales de capacitación para el personal.
-
— un sitio con una gran cantidad de productos disponibles para el personal de pruebas.
-
— sistema automatizado para realizar pruebas y formar a los empleados. Tiene varias versiones de productos que soportan desde 10 hasta más de 1000 empleados. Los cursos de formación incluyen trabajos teóricos y prácticos, es posible identificar necesidades a partir de las estadísticas obtenidas tras una campaña de phishing. La solución es comercial con posibilidad de uso de prueba.
-
— sistema automatizado de formación y seguimiento de la seguridad. El producto comercial ofrece ataques periódicos de formación, formación de empleados, etc. Se ofrece una campaña como versión de demostración del producto, que incluye la implementación de plantillas y la realización de tres ataques de entrenamiento.
Las soluciones anteriores son sólo una parte de los productos disponibles en el mercado para la formación automatizada de personal. Por supuesto, cada uno tiene sus propias ventajas y desventajas. Hoy nos familiarizaremos con , simule un ataque de phishing y explore las opciones disponibles.
GoPhish
Entonces, es hora de practicar. GoPhish no fue elegido por casualidad: es una herramienta fácil de usar con las siguientes características:
-
Instalación y puesta en marcha simplificadas.
-
Soporte de API REST. Le permite crear consultas desde y aplicar scripts automatizados.
-
Cómoda interfaz de control gráfico.
-
Multiplataforma.
El equipo de desarrollo ha preparado un excelente sobre la implementación y configuración de GoPhish. De hecho, todo lo que necesitas hacer es ir a , descargue el archivo ZIP para el sistema operativo correspondiente, ejecute el archivo binario interno, después de lo cual se instalará la herramienta.
¡NOTA IMPORTANTE!
Como resultado, debería recibir en el terminal información sobre el portal implementado, así como datos de autorización (relevantes para versiones anteriores a la versión 0.10.1). ¡No olvides asegurarte una contraseña!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Comprender la configuración de GoPhish
Después de la instalación, se creará un archivo de configuración (config.json) en el directorio de la aplicación. Describamos los parámetros para cambiarlo:
Llave
Valor (predeterminado)
Descripción
admin_server.listen_url
127.0.0.1:3333
Dirección IP del servidor GoPhish
admin_server.use_tls
false
¿Se utiliza TLS para conectarse al servidor GoPhish?
admin_server.cert_path
ejemplo.crt
Ruta al certificado SSL para el portal de administración de GoPhish
admin_server.key_path
ejemplo.key
Ruta a la clave SSL privada
phish_server.listen_url
0.0.0.0:80
Dirección IP y puerto donde está alojada la página de phishing (por defecto está alojada en el propio servidor GoPhish en el puerto 80)
—> Ir al portal de gestión. En nuestro caso: https://127.0.0.1:3333
—> Se le pedirá que cambie una contraseña bastante larga por una más sencilla o viceversa.
Crear un perfil de remitente
Vaya a la pestaña “Perfiles de envío” y proporcione información sobre el usuario del que se originará nuestro correo:
Donde:
Nombre
Nombre del remitente
Desde
correo electrónico del remitente
Anfitrión
Dirección IP del servidor de correo desde el que se escuchará el correo entrante.
Usuario
Inicio de sesión de la cuenta de usuario del servidor de correo.
Contraseña
Contraseña de la cuenta de usuario del servidor de correo.
También puede enviar un mensaje de prueba para garantizar el éxito de la entrega. Guarde la configuración usando el botón "Guardar perfil".
Crear un grupo de destinatarios
A continuación, debe formar un grupo de destinatarios de “cartas en cadena”. Vaya a "Usuario y grupos" → "Nuevo grupo". Hay dos formas de agregar: manualmente o importando un archivo CSV.
El segundo método requiere los siguientes campos obligatorios:
-
Nombre
-
Apellidos
-
Correo electrónico
-
Puesto de trabajo
Como un ejemplo:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Crear una plantilla de correo electrónico de phishing
Una vez que hayamos identificado al atacante imaginario y a las posibles víctimas, debemos crear una plantilla con un mensaje. Para hacer esto, vaya a la sección “Plantillas de correo electrónico” → “Nuevas plantillas”.
A la hora de crear una plantilla se utiliza un enfoque técnico y creativo, se debe especificar un mensaje del servicio que resulte familiar a los usuarios víctimas o que les provoque una determinada reacción. Posibles opciones:
Nombre
Nombre de la plantilla
Asunto
Asunto de la carta
Texto / HTML
Campo para ingresar texto o código HTML
Gophish admite la importación de letras, pero crearemos las nuestras propias. Para ello simulamos un escenario: un usuario de una empresa recibe una carta pidiéndole que cambie la contraseña de su correo electrónico corporativo. A continuación, analicemos su reacción y veamos nuestra "captura".
Usaremos variables integradas en la plantilla. Más detalles se pueden encontrar en lo anterior. sección .
Primero, carguemos el siguiente texto:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamEn consecuencia, se introducirá automáticamente el nombre del usuario (según el ítem “Nuevo Grupo” previamente especificado) y se indicará su dirección postal.
A continuación, debemos proporcionar un enlace a nuestro recurso de phishing. Para hacer esto, resalte la palabra "aquí" en el texto y seleccione la opción "Enlace" en el panel de control.
Estableceremos la URL en la variable incorporada {{.URL}}, que completaremos más adelante. Se incrustará automáticamente en el texto del correo electrónico de phishing.
Antes de guardar la plantilla, no olvide habilitar la opción "Agregar imagen de seguimiento". Esto agregará un elemento multimedia de 1x1 píxeles que rastreará si el usuario abrió el correo electrónico.
Entonces, no queda mucho, pero primero resumiremos los pasos necesarios después de iniciar sesión en el portal Gophish:
-
Crear un perfil de remitente;
-
Cree un grupo de distribución donde especifique usuarios;
-
Cree una plantilla de correo electrónico de phishing.
De acuerdo, la configuración no tomó mucho tiempo y ya casi estamos listos para lanzar nuestra campaña. Todo lo que queda es agregar una página de phishing.
Creando una página de phishing
Vaya a la pestaña "Páginas de destino".
Se nos pedirá que especifiquemos el nombre del objeto. Es posible importar el sitio de origen. En nuestro ejemplo, intenté especificar el portal web en funcionamiento del servidor de correo. En consecuencia, se importó como código HTML (aunque no completamente). Las siguientes son opciones interesantes para capturar la entrada del usuario:
-
Capturar datos enviados. Si la página del sitio especificada contiene varios formularios de entrada, se registrarán todos los datos.
-
Capturar contraseñas: captura las contraseñas ingresadas. Los datos se escriben en la base de datos GoPhish sin cifrado, tal como están.
Además, podemos utilizar la opción "Redirigir a", que redirigirá al usuario a una página específica después de ingresar las credenciales. Permítanme recordarles que hemos configurado un escenario en el que se solicita al usuario que cambie la contraseña del correo electrónico corporativo. Para hacer esto, se le ofrece una página de portal de autorización de correo falso, después de lo cual se puede enviar al usuario a cualquier recurso disponible de la empresa.
No olvide guardar la página completa y ir a la sección "Nueva campaña".
Lanzamiento de la pesca GoPhish
Hemos proporcionado toda la información necesaria. En la pestaña "Nueva campaña", cree una nueva campaña.
Lanzamiento de campaña
Donde:
Nombre
Nombre de campaña
Plantilla de correo electrónico
Plantilla de mensaje
Landing Page
página de phishing
Enlance
IP de su servidor GoPhish (debe tener acceso a la red con el host de la víctima)
Fecha de lanzamiento
Fecha de inicio de la campaña
Enviar correos electrónicos por
Fecha de finalización de la campaña (correo distribuido uniformemente)
Perfil de envío
Perfil del remitente
Grupos
Grupo de destinatarios de correo
Después del inicio, siempre podemos familiarizarnos con las estadísticas, que indican: mensajes enviados, mensajes abiertos, clics en enlaces, datos dejados transferidos al spam.
De las estadísticas vemos que se envió 1 mensaje, revisemos el correo por parte del destinatario:
De hecho, la víctima recibió con éxito un correo electrónico de phishing pidiéndole que siguiera un enlace para cambiar la contraseña de su cuenta corporativa. Realizamos las acciones solicitadas, somos remitidos a las Landing Pages, ¿qué pasa con las estadísticas?
Como resultado, nuestro usuario hizo clic en un enlace de phishing, donde potencialmente podría dejar la información de su cuenta.
Nota del autor: el proceso de entrada de datos no se registró debido al uso de un diseño de prueba, pero existe esa opción. Sin embargo, el contenido no está cifrado y se almacena en la base de datos de GoPhish; tenga esto en cuenta.
En lugar de una conclusión
Hoy abordamos el tema actual de la realización de capacitación automatizada para los empleados para protegerlos de ataques de phishing y desarrollar en ellos conocimientos de TI. Gophish se implementó como una solución asequible, que mostró buenos resultados en términos de tiempo de implementación y resultados. Con esta herramienta accesible, podrás auditar a tus empleados y generar informes sobre su comportamiento. Si está interesado en este producto, le ofrecemos asistencia para implementarlo y auditar a sus empleados ([email protected]).
Sin embargo, no nos limitaremos a revisar una solución y planeamos continuar el ciclo, donde hablaremos de soluciones empresariales para automatizar el proceso de capacitación y monitorear la seguridad de los empleados. ¡Quédate con nosotros y mantente alerta!
Fuente: habr.com