Tänapäeval kulutab võrguadministraator või infoturbeinsener palju aega ja vaeva, et kaitsta ettevõtte võrgu perimeetrit erinevate ohtude eest, valdab uusi süsteeme sündmuste ennetamiseks ja jälgimiseks, kuid seegi ei taga talle täielikku turvalisust. Ründajad kasutavad aktiivselt sotsiaalset manipuleerimist ja sellel võivad olla tõsised tagajärjed.
Kui sageli olete tabanud end mõttelt: "Tore oleks korraldada töötajatele infoturbealase kirjaoskuse kontroll"? Paraku jooksevad mõtted suure hulga ülesannete või tööpäeva piiratud aja näol arusaamatuse seinale. Plaanime teile rääkida kaasaegsetest toodetest ja tehnoloogiatest personalikoolituse automatiseerimise valdkonnas, mis ei nõua piloteerimiseks ega juurutamiseks pikka ettevalmistust, vaid kõigepealt.
Teoreetiline alus
Tänapäeval levitatakse enam kui 80% pahatahtlikest failidest posti teel (andmed on võetud Check Pointi ekspertide viimase aasta aruannetest, kasutades teenust Intelligence Reports).
Pahatahtliku faili rünnakuvektori aruanne (Venemaa) – kontrollpunkt
See viitab sellele, et meilisõnumite sisu on ründajate poolt ärakasutamiseks piisavalt haavatav. Kui võtta arvesse kõige populaarsemaid pahatahtlikke failivorminguid manustes (EXE, RTF, DOC), siis väärib märkimist, et need sisaldavad tavaliselt koodi automaatse täitmise elemente (skripte, makrosid).
Aastaaruanne vastuvõetud pahatahtlike sõnumite failivormingute kohta – kontrollpunkt
Kuidas selle rünnakuvektoriga toime tulla? Meili kontrollimine toimub turvatööriistade abil:
-
viirusetõrje — Ohtude allkirja tuvastamine.
-
Võistlus - liivakast, millega manuseid avatakse isoleeritud keskkonnas.
-
Sisu teadlikkus — aktiivsete elementide eraldamine dokumentidest. Kasutaja saab puhastatud dokumendi (tavaliselt PDF-vormingus).
-
Rämpspostitõrje - saaja / saatja domeeni maine kontrollimine.
Ja teoreetiliselt sellest piisab, kuid ettevõtte jaoks on veel üks sama väärtuslik ressurss - töötajate ettevõtte- ja isikuandmed. Viimastel aastatel on järgmist tüüpi Interneti-pettuste populaarsus aktiivselt kasvanud:
Andmepüük (inglise keeles phishing, kalapüük - kalapüük, kalapüük) - Interneti-pettuse liik. Selle eesmärk on hankida kasutaja isikuandmeid. See hõlmab paroolide, krediitkaardinumbrite, pangakontode ja muu tundliku teabe varastamist.
Ründajad täiustavad andmepüügirünnakuid, suunavad populaarsetelt saitidelt DNS-i päringuid ümber ja juurutavad terveid kampaaniaid, kasutades meilide saatmiseks sotsiaalset manipuleerimist.
Seega, et kaitsta oma ettevõtte e-posti andmepüügi eest, on soovitatav kasutada kahte lähenemisviisi ja nende koos kasutamine annab parimad tulemused.
-
Tehnilised kaitsevahendid. Nagu varem mainitud, kasutatakse ainult seadusliku kirja kontrollimiseks ja edastamiseks erinevaid tehnoloogiaid.
-
Personali teoreetiline koolitus. See hõlmab personali igakülgset testimist potentsiaalsete ohvrite tuvastamiseks. Lisaks koolitatakse neid ümber, statistikat registreeritakse pidevalt.
Ärge usaldage ja kontrollige
Täna räägime andmepüügirünnakute tõkestamise teisest lähenemisviisist, nimelt personali automatiseeritud koolitamisest, et tõsta ettevõtte- ja isikuandmete üldist turvalisuse taset. Miks see võib nii ohtlik olla?
sotsiaalne insener - inimeste psühholoogiline manipuleerimine teatud toimingute tegemiseks või konfidentsiaalse teabe avaldamiseks (seoses infoturbega).
Tüüpilise andmepüügirünnaku juurutamise stsenaariumi skeem
Vaatame meelelahutuslikku vooskeemi, mis kirjeldab lühidalt andmepüügikampaania reklaamimise teed. Sellel on erinevad etapid:
-
Esmaste andmete kogumine.
21. sajandil on raske leida inimest, kes poleks registreeritud üheski suhtlusvõrgustikus või erinevates temaatilistes foorumites. Loomulikult jätavad paljud meist enda kohta üksikasjalikku teavet: praegune töökoht, kolleegide rühm, telefon, post jne. Lisage sellele isikupärastatud teave inimese huvide kohta ja teil on andmed andmepüügimalli moodustamiseks. Isegi kui sellise infoga inimesi polnud võimalik leida, on alati olemas ettevõtte koduleht, kust leiab kogu meid huvitava info (domeenipost, kontaktid, ühendused).
-
Kampaania käivitamine.
Kui tugipunkt on loodud, saate tasuta või tasuliste tööriistade abil käivitada oma sihitud andmepüügikampaania. Meililisti käigus koguneb statistika: kohaletoimetatud kirjad, avatud kirjad, linkidel klõpsamine, volituste sisestamine jne.
Tooted turul
Andmepüüki saavad kasutada nii küberkurjategijad kui ka ettevõtte infoturbe töötajad, et viia läbi pidevat töötajate käitumise auditit. Mida pakub turg meile tasuta ja kommertslahendusi ettevõtte töötajate automatiseeritud koolitussüsteemi jaoks:
-
on avatud lähtekoodiga projekt, mis võimaldab teil juurutada andmepüügiettevõtte, et kontrollida oma töötajate IT-pädevust. Eelised hõlmavad juurutamise lihtsust ja minimaalseid süsteeminõudeid. Puuduseks on valmis meilimallide puudumine, personalile mõeldud testide ja koolitusmaterjalide puudumine.
-
— platvorm suure hulga saadaolevate toodetega personali testimiseks.
-
— automatiseeritud süsteem töötajate testimiseks ja koolitamiseks. Sellel on erinevad versioonid toodetest, mis toetavad 10 kuni 1000 töötajat. Koolituskursused sisaldavad teooriat ja praktilisi ülesandeid, õngitsemiskampaania järgselt saadud statistika põhjal on võimalik vajadusi välja selgitada. Lahendus on kaubanduslik proovikasutuse võimalusega.
-
— automatiseeritud koolitus- ja turvakontrollisüsteem. Kaubandustoode pakub perioodilisi pilkavaid rünnakuid, töötajate koolitust jne. Toote demoversioonina pakutakse kampaaniat, mis sisaldab mallide juurutamist ja kolme treeningrünnaku läbiviimist.
Ülaltoodud lahendused on vaid osa personali automatiseeritud koolituse turul saadaolevatest toodetest. Loomulikult on igal neist oma eelised ja puudused. Täna saame tuttavaks , simuleerida andmepüügirünnakut, uurida saadaolevaid valikuid.
GoPhish
Niisiis, on aeg harjutada. GoPhish ei valitud juhuslikult: see on kasutajasõbralik tööriist, millel on järgmised funktsioonid:
-
Lihtsustatud paigaldamine ja käivitamine.
-
REST API tugi. Võimaldab teil taotlusi genereerida ja rakendage automatiseeritud skripte.
-
Mugav graafiline kasutajaliides.
-
Platvormideülene.
Arendusmeeskond on ette valmistanud suurepärase GoPhishi juurutamise ja konfigureerimise kohta. Tegelikult peate ainult minema , laadige alla vastava OS-i ZIP-arhiiv, käivitage sisemine binaarfail, mille järel tööriist installitakse.
TÄHTIS MÄRKUS!
Selle tulemusena peaksite saama teavet terminalis juurutatud portaali kohta, samuti andmeid autoriseerimiseks (asjakohane versioonist 0.10.1 vanemate versioonide puhul). Ärge unustage oma parooli salvestada!
msg="Please login with the username admin and the password <ПАРОЛЬ>"GoPhishi seadistuse mõistmine
Pärast installimist luuakse rakenduste kataloogis konfiguratsioonifail (config.json). Kirjeldame selle muutmise parameetreid:
võti
Väärtus (vaikimisi)
Kirjeldus
admin_server.listen_url
127.0.0.1:3333
GoPhishi serveri IP-aadress
admin_server.use_tls
vale
Kas GoPhishi serveriga ühenduse loomiseks kasutatakse TLS-i
admin_server.cert_path
näide.crt
GoPhishi administraatoriportaali SSL-sertifikaadi tee
admin_server.key_path
näide.võti
Privaatse SSL-võtme tee
phish_server.listen_url
0.0.0.0:80
Andmepüügileht majutab IP-aadressi ja porti (vaikimisi hostitud GoPhishi serveris pordis 80)
—> Minge haldusportaali. Meie puhul: https://127.0.0.1:3333
-> Teil palutakse vahetada piisavalt pikk parool lihtsama vastu või vastupidi.
Saatja profiili loomine
Minge vahekaardile "Saatmisprofiilid" ja määrake andmed kasutaja kohta, kellelt meie kirjad saadetakse:
Kui:
Nimi
Saatja nimi
alates
Saatja post
Võõrustaja
Meiliserveri IP-aadress, kust sissetulevaid kirju kuulatakse.
kasutajanimi
Meiliserveri kasutajakonto sisselogimine.
Parool
Meiliserveri kasutajakonto parool.
Saate saata ka testsõnumi, et veenduda kohaletoimetamise õnnestumises. Salvestage sätted nupu "Salvesta profiil" abil.
Looge sihtrühm
Järgmisena peaksite moodustama "õnnekirjade" saajate rühma. Avage "Kasutaja ja rühmad" → "Uus rühm". Lisamiseks on kaks võimalust: käsitsi või CSV-faili importimine.
Teine meetod nõuab kohustuslike väljade olemasolu:
-
Eesnimi
-
Perekonnanimi
-
E-POST
-
ASUKOHT
Näiteks:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Looge andmepüügimeili mall
Pärast kujuteldava ründaja ja potentsiaalsete ohvrite tuvastamist peame looma sõnumimalli. Selleks minge jaotisse "E-posti mallid" → "Uued mallid".
Malli moodustamisel kasutatakse tehnilist ja loomingulist lähenemist, peaksite määrama teenuse sõnumi, mis on ohvrikasutajatele tuttav või tekitab neis teatud reaktsiooni. Võimalikud valikud:
Nimi
Malli nimi
Teema
Kirja teema
Tekst/HTML
Väli teksti või HTML-koodi sisestamiseks
Gophish toetab meilide importimist, kuid loome ise. Selleks simuleerime stsenaariumi: ettevõtte kasutaja saab oma ettevõtte kirjast parooli muutmise ettepanekuga kirja. Järgmisena analüüsime tema reaktsiooni ja vaatame oma "saaki".
Kasutame mallis sisseehitatud muutujaid. Lisateavet leiate ülaltoodud jaotisest lõik .
Kõigepealt laadime järgmise teksti:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamVastavalt sellele asendatakse automaatselt kasutajanimi (vastavalt eelnevalt seatud kirjele “Uus grupp”) ja näidatakse tema postiaadress.
Järgmisena peaksime andma lingi meie andmepüügiressursile. Selleks valige tekstist sõna "siin" ja valige juhtpaneelil valik "Link".
URL-ina määrame sisseehitatud muutuja {{.URL}}, mille täidame hiljem. See manustatakse automaatselt andmepüügimeili kehasse.
Ärge unustage enne malli salvestamist lubada valikut "Lisa jälgimispilt". See lisab 1x1 pikslise meediumielemendi, mis jälgib, millal kasutaja meili avab.
Seega pole palju jäänud, kuid kõigepealt võtame kokku vajalikud sammud pärast Gophishi portaalis autoriseerimist:
-
Looge saatja profiil;
-
Loo jaotusrühm, kus kasutajaid määrata;
-
Looge andmepüügimeili mall.
Nõus, seadistamine ei võtnud palju aega ja oleme peaaegu valmis oma kampaania käivitamiseks. Jääb üle andmepüügileht lisada.
Andmepüügilehe loomine
Minge vahekaardile "Sihtlehed".
Meil palutakse määrata objekti nimi. Lähtesaiti on võimalik importida. Meie näites proovisin määrata töötava meiliserveri veebiportaali. Seetõttu imporditi see HTML-koodina (ehkki mitte täielikult). Järgmised on huvitavad valikud kasutaja sisendi jäädvustamiseks:
-
Jäädvustage esitatud andmed. Kui määratud saidi leht sisaldab erinevaid sisestusvorme, salvestatakse kõik andmed.
-
Paroolide püüdmine – sisestatud paroolide püüdmine. Andmed kirjutatakse GoPhishi andmebaasi ilma krüptimiseta.
Lisaks saame kasutada valikut "Ümbersuunata", mis suunab kasutaja pärast mandaatide sisestamist määratud lehele. Lubage mul teile meelde tuletada, et oleme seadnud stsenaariumi, kui kasutajal palutakse ettevõtte posti parooli muuta. Selleks pakutakse talle e-posti autoriseerimisportaali võltslehte, mille järel saab kasutaja saata mis tahes saadaolevasse ettevõtte ressurssi.
Ärge unustage salvestada valminud lehte ja minna jaotisse "Uus kampaania".
GoPhishi kalapüügi käivitamine
Oleme esitanud kogu vajaliku teabe. Looge vahekaardil "Uus kampaania" uus kampaania.
Kampaania käivitamine
Kui:
Nimi
Kampaania nimi
E-posti mall
Sõnumi mall
Kodulehe
Andmepüügileht
URL
Teie GoPhishi serveri IP (peab olema võrguga juurdepääsetav ohvri hostiga)
Käivitamise kuupäev
Kampaania alguskuupäev
Saada meili teel
Kampaania lõppkuupäev (postitus on ühtlaselt jaotatud)
Profiili saatmine
Saatja profiil
grupid
Kirja saajate rühm
Peale starti saame alati tutvuda statistikaga, mis näitab: saadetud kirjad, avatud kirjad, linkide klõpsud, andmed jäetud, ülekandmine rämpsposti.
Statistikast näeme, et saadeti 1 kiri, kontrollime kirja saaja poolelt:
Tõepoolest, ohver sai edukalt andmepüügimeili, milles paluti neil järgida linki, et muuta oma ettevõtte konto parool. Teeme nõutud toimingud, meid suunatakse Sihtlehtede lehele, kuidas on lood statistikaga?
Selle tulemusena järgis meie kasutaja andmepüügilinki, kuhu ta võis jätta oma kontoteabe.
Autori märkus: andmesisestusprotsess jäi testpaigutuse kasutamise tõttu fikseerimata, kuid selline võimalus on olemas. Samal ajal ei ole sisu krüptitud ja salvestatakse GoPhishi andmebaasi, pange tähele.
Selle asemel, et järeldus
Täna puudutasime päevakajalist teemat töötajate automatiseeritud koolituste läbiviimisest, et kaitsta neid andmepüügirünnakute eest ja harida IT-pädevust. Taskukohase lahendusena võeti kasutusele Gophish, mis toimis hästi juurutusaja osas. Selle taskukohase tööriistaga saate kontrollida oma töötajaid ja koostada aruandeid nende käitumise kohta. Kui olete sellest tootest huvitatud, pakume abi selle kasutuselevõtul ja töötajate auditeerimisel ([meiliga kaitstud]).
Siiski ei kavatse me peatuda ühe lahenduse ülevaatamisel ja plaanime tsüklit jätkata, kus räägime Enterprise lahendustest õppeprotsessi automatiseerimiseks ja töötajate turvalisuse jälgimiseks. Jääge meiega ja olge valvsad!
Allikas: www.habr.com