Gaur egun, sare-administratzaile edo informazio-segurtasuneko ingeniari batek denbora eta ahalegin handia ematen du enpresa-sare baten perimetroa hainbat mehatxuetatik babesteko, gertaerak prebenitzeko eta kontrolatzeko sistema berriak menperatzen, baina horrek ere ez du segurtasun osoa bermatzen. Erasotzaileek aktiboki erabiltzen dute ingeniaritza soziala eta ondorio larriak izan ditzake.
Zenbatetan harrapatu duzu zure burua pentsatzen: βOndo legoke langileei informazioaren segurtasunari buruzko alfabetizazioari buruzko proba bat antolatzeaβ? Zoritxarrez, pentsamenduak gaizki-ulertu baten horma batean sartzen dira lan-egunean zeregin ugari edo denbora mugatuan. Langileen prestakuntzaren automatizazioaren alorreko produktu eta teknologia modernoei buruz hitz egiteko asmoa dugu, ez baitute prestakuntza luzerik eskatuko pilotatzeko edo ezartzeko, dena ordenatuta baizik.
Oinarri teorikoa
Gaur egun, fitxategi maltzurren % 80 baino gehiago posta elektroniko bidez banatzen da (Intelligence Reports zerbitzua erabiliz azken urtean Check Pointeko espezialisten txostenetatik hartutako datuak).
Fitxategi gaiztoak banatzeko eraso-bektoreari buruzko azken 30 egunetako txostena (Errusia) - Check Point
Honek iradokitzen du mezu elektronikoen edukia erasotzaileen ustiapenerako nahiko zaurgarria dela. Eranskinetan asmo txarreko fitxategi-formatu ezagunenak kontuan hartzen baditugu (EXE, RTF, DOC), kontuan hartu behar da, oro har, kodea exekutatzeko elementu automatikoak (scriptak, makroak) dituztela.
Jasotako mezu maltzurren fitxategi formatuei buruzko urteko txostena - Check Point
Nola aurre egin eraso bektore honi? Posta egiaztatzeak segurtasun tresnak erabiltzea dakar:
-
antivirus β Mehatxuen sinadura hautematea.
-
Emulazioa - ingurune isolatu batean eranskinak irekitzeko harea-kutxa bat.
-
Edukien Sentsibilizazioa β dokumentuetatik elementu aktiboak ateratzea. Erabiltzaileak dokumentu garbi bat jasotzen du (normalean PDF formatuan).
-
Spamaren aurkakoa β Hartzailearen/igorlearen domeinuaren ospea egiaztatzea.
Eta, teorian, nahikoa da, baina enpresarentzat balio duen beste baliabide bat dago: langileen datu korporatiboak eta pertsonalak. Azken urteotan, Interneteko iruzurre mota honen ospea aktiboki hazten ari da:
Phishing (Ingelesezko phishing, arrantzatik - arrantza, arrantza) - Interneteko iruzurra mota bat. Bere helburua erabiltzaileen identifikazio-datuak lortzea da. Horrek pasahitzak, kreditu-txartelen zenbakiak, banku-kontuak eta bestelako informazio sentikorra lapurtzea barne hartzen du.
Erasotzaileak phishing-erasoen metodoak hobetzen ari dira, gune ezagunetatik DNS eskaerak birbideratzen eta kanpaina osoak abiarazten ari dira ingeniaritza soziala erabiliz mezu elektronikoak bidaltzeko.
Beraz, zure posta elektroniko korporatiboa phishing-etik babesteko, bi ikuspegi erabiltzea gomendatzen da, eta haien erabilera konbinatuak emaitza onenak lortzen ditu:
-
Babesteko tresna teknikoak. Lehen esan bezala, hainbat teknologia erabiltzen dira legezko mezuak soilik egiaztatzeko eta birbidaltzeko.
-
Langileen prestakuntza teorikoa. Biktima potentzialak identifikatzeko langileen azterketa integralean datza. Ondoren, birziklatzen dira eta estatistikak etengabe erregistratzen dira.
Ez fidatu eta egiaztatu
Gaur phishing erasoak prebenitzeko bigarren ikuspegiari buruz hitz egingo dugu, hots, langileen prestakuntza automatizatuari buruz, datu korporatibo eta pertsonalen segurtasun-maila orokorra handitzeko. Zergatik izan liteke hau hain arriskutsua?
ingeniaritza soziala β pertsonen manipulazio psikologikoa ekintza jakin batzuk egiteko edo isilpeko informazioa ezagutzera emateko (informazioaren segurtasunari dagokionez).
Phishing-erasoen inplementazio-eszenatoki tipiko baten diagrama
Ikus dezagun phishing kanpaina baten ibilbidea laburki azaltzen duen fluxu-diagrama dibertigarri bati. Etapa desberdinak ditu:
-
Lehen datuen bilketa.
mendean zaila da inongo sare sozialetan edo hainbat foro tematikotan erregistratuta ez dagoen pertsona bat aurkitzea. Berez, askok geure buruari buruzko informazio zehatza uzten dugu: unean uneko lantokia, lankideentzako taldea, telefonoa, posta, etab. Gehitu honi pertsona baten interesei buruzko informazio pertsonalizatua eta phishing txantiloi bat osatzeko datuak dituzu. Nahiz eta informazio hori duen jendea aurkitu ezin izan, beti dago enpresaren webgune bat non interesatzen zaigun informazio guztia aurki dezakegun (domeinu-posta elektronikoa, kontaktuak, konexioak).
-
Kanpaina abian jartzea.
Abiapuntu bat jarrita duzunean, doako edo ordainpeko tresnak erabil ditzakezu zure zuzendutako phishing kanpaina abiarazteko. Bidalketa prozesuan, estatistikak pilatuko dituzu: bidalitako posta, irekitako posta, klikatutako estekak, sartutako kredentzialak, etab.
Merkatuan dauden produktuak
Erasotzaileek zein enpresako informazioaren segurtasuneko langileek phishing-a erabil dezakete langileen portaeraren etengabeko auditoria egiteko. Zer eskaintzen digu enpresako langileentzako prestakuntza sistema automatizaturako soluzio doako eta komertzialen merkatuak:
-
kode irekiko proiektu bat da, zure langileen IT alfabetatzea egiaztatzeko phishing kanpaina bat zabaltzeko aukera ematen duena. Abantailak hedatzeko erraztasuna eta sistemaren eskakizun minimoak izango lirateke. Desabantailak prest dauden posta-txantiloirik eza, probak eta langileentzako prestakuntza-material falta dira.
-
β Langileak probatzeko produktu ugari dituen gune bat.
-
β Langileen probak eta prestakuntzarako sistema automatizatua. 10 eta 1000 langile baino gehiago onartzen dituzten produktuen hainbat bertsio ditu. Prestakuntza-ikastaroek lan teorikoak eta praktikoak barne hartzen dituzte; phishing kanpaina baten ondoren lortutako estatistiken arabera beharrak identifikatu daitezke. Irtenbidea komertziala da proba erabiltzeko aukerarekin.
-
β prestakuntza automatizatua eta segurtasuna kontrolatzeko sistema. Produktu komertzialak aldizkako prestakuntza-erasoak, langileen prestakuntza eta abar eskaintzen ditu. Kanpaina bat eskaintzen da produktuaren demo bertsio gisa, txantiloiak hedatzea eta hiru prestakuntza-eraso egitea barne.
Aurreko irtenbideak langileen prestakuntza automatizatuko merkatuan eskuragarri dauden produktuen zati bat baino ez dira. Noski, bakoitzak bere abantailak eta desabantailak ditu. Gaur ezagutuko dugu , simulatu phishing-eraso bat eta arakatu eskuragarri dauden aukerak.
GoPhish
Beraz, praktikatzeko garaia da. GoPhish ez da kasualitatez aukeratu: tresna erabilgarria da, ezaugarri hauek dituena:
-
Instalazioa eta abiarazte sinplifikatuak.
-
REST API laguntza. Kontsultak sortzeko aukera ematen dizu eta script automatizatuak aplikatzea.
-
Kontrol grafikoko interfaze erosoa.
-
Plataforma gurutzatua.
Garapen taldeak bikain prestatu du GoPhish hedatzeari eta konfiguratzeari buruz. Izan ere, egin behar duzun guztia bertara joatea da , deskargatu ZIP artxiboa dagokion OSrako, exekutatu barne fitxategi bitarra, eta ondoren tresna instalatuko da.
OHARRA GARRANTZITSUA!
Ondorioz, terminalean zabaldutako atariaren inguruko informazioa jaso beharko zenuke, baita baimen-datuak ere (garrantzitsuak 0.10.1 bertsioa baino zaharragoak diren bertsioetarako). Ez ahaztu zuretzako pasahitza ziurtatzea!
msg="Please login with the username admin and the password <ΠΠΠ ΠΠΠ¬>"GoPhish-en konfigurazioa ulertzea
Instalatu ondoren, konfigurazio fitxategi bat (config.json) sortuko da aplikazioen direktorioan. Deskriba ditzagun hura aldatzeko parametroak:
gakoa
Balioa (lehenetsia)
Description
admin_server.listen_url
127.0.0.1:3333
GoPhish zerbitzariaren IP helbidea
admin_server.use_tls
false
TLS erabiltzen al da GoPhish zerbitzariarekin konektatzeko
admin_server.cert_path
adibidea.crt
GoPhish administratzaile atarirako SSL ziurtagirirako bidea
admin_server.key_path
adibidea.giltza
SSL gako pribaturako bidea
phish_server.listen_url
0.0.0.0:80
IP helbidea eta phishing orria ostatatzen den ataka (lehenespenez GoPhish zerbitzarian bertan dago 80 atakan)
β> Joan kudeaketa atarira. Gure kasuan: https://127.0.0.1:3333
β> Pasahitz luze samarra aldatzeko eskatuko zaizu errazagoa den beste batera edo alderantziz.
Bidaltzailearen profila sortzea
Joan "Profilak bidaltzen" fitxara eta eman gure posta sortuko den erabiltzaileari buruzko informazioa:
Non:
izena
Bidaltzailearen izena
aurrera
Bidaltzailearen posta elektronikoa
Host
Sarrerako mezuak entzungo dituen posta zerbitzariaren IP helbidea.
Erabiltzaile izena
Posta-zerbitzariaren erabiltzailearen kontuaren saioa.
Pasahitza
Posta zerbitzariaren erabiltzaile-kontuaren pasahitza.
Proba-mezu bat ere bidal dezakezu entrega arrakastatsua ziurtatzeko. Gorde ezarpenak "Gorde profila" botoia erabiliz.
Hartzaile talde bat sortzea
Ondoren, "kate-gutun" hartzaile talde bat osatu beharko zenuke. Joan "Erabiltzaileak eta taldeak" β "Talde berria". Gehitzeko bi modu daude: eskuz edo CSV fitxategi bat inportatzea.
Bigarren metodoak beharrezko eremu hauek behar ditu:
-
Izena
-
Abizena
-
Emaila
-
Kargua
Adibide gisa:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Phishing posta elektronikoaren txantiloia sortzea
Irudizko erasotzailea eta balizko biktimak identifikatu ondoren, mezu batekin txantiloi bat sortu behar dugu. Horretarako, joan βE-posta txantiloiakβ β βTxantiloi berriakβ atalera.
Txantiloi bat osatzerakoan, ikuspegi tekniko eta sortzailea erabiltzen da; zerbitzuaren mezu bat zehaztu behar da, biktimen erabiltzaileentzat ezaguna izango dena edo nolabaiteko erreakzio bat eragingo diena. Aukera posibleak:
izena
Txantiloiaren izena
Gaia
Gutunaren gaia
Testua/HTMLa
Testua edo HTML kodea sartzeko eremua
Gophish-ek letrak inportatzea onartzen du, baina guk geuk sortuko dugu. Horretarako, agertoki bat simulatzen dugu: enpresaren erabiltzaile batek gutun bat jasotzen du pasahitza aldatzeko eskatuz bere posta elektroniko korporatibotik. Jarraian, aztertu dezagun bere erreakzioa eta ikus dezagun gure "harrapaketa".
Txantiloian barneko aldagaiak erabiliko ditugu. Xehetasun gehiago goiko atalean aurki daitezke Atal .
Lehenik eta behin, karga dezagun testu hau:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamHorren arabera, erabiltzailearen izena automatikoki sartuko da (aurretik zehaztutako βTalde Berriaβ elementuaren arabera) eta bere posta helbidea adieraziko da.
Ondoren, gure phishing baliabiderako esteka bat eman beharko genuke. Horretarako, nabarmendu "hemen" hitza testuan eta hautatu "Esteka" aukera kontrol panelean.
URLa {{.URL}} aldagai integratuan ezarriko dugu, geroago beteko duguna. Automatikoki txertatuko da phishing mezu elektronikoaren testuan.
Txantiloia gorde aurretik, ez ahaztu "Gehitu jarraipenaren irudia" aukera gaitzea. Honek 1x1 pixeleko multimedia elementu bat gehituko du, erabiltzaileak mezu elektronikoa ireki duen ala ez jarraipena egingo duena.
Beraz, ez da asko falta, baina lehenik eta behin Gophish atarian saioa hasi ondoren beharrezko urratsak laburbilduko ditugu:
-
Sortu igorle profila;
-
Sortu banaketa talde bat non erabiltzaileak zehazten dituzun;
-
Sortu phishing posta elektronikoaren txantiloia.
Ados, konfigurazioak ez du denbora asko behar izan eta ia prest gaude gure kanpaina abiarazteko. Phishing orri bat gehitzea besterik ez da geratzen.
Phishing orri bat sortzea
Joan "Landing Pages" fitxara.
Objektuaren izena zehazteko eskatuko zaigu. Sorburu-gunea inportatu daiteke. Gure adibidean, posta zerbitzariaren laneko web ataria zehazten saiatu naiz. Horren arabera, HTML kode gisa inportatu zen (guztiz ez bada ere). Hauek dira erabiltzaileen sarrerak harrapatzeko aukera interesgarriak:
-
Harrapatu bidalitako datuak. Zehaztutako guneko orrialdeak sarrera-inprimaki desberdinak baditu, datu guztiak erregistratuko dira.
-
Capture Passwords - Atera sartutako pasahitzak. Datuak enkriptatu gabe idazten dira GoPhish datu-basean, dagoen bezala.
Horrez gain, "Hori birbideratu" aukera erabil dezakegu, kredentzialak sartu ondoren erabiltzailea orri zehatz batera birbideratuko duena. Gogorarazten dizut agertoki bat ezarri dugula non erabiltzaileari posta elektroniko korporatiboaren pasahitza aldatzeko eskatzen zaion. Horretarako, posta-baimenaren atariko orri faltsu bat eskaintzen zaio, eta ondoren erabiltzailea eskuragarri dagoen edozein enpresa-baliabidera bidali ahal izango da.
Ez ahaztu betetako orria gordetzea eta "Kanpaina berria" atalera joan.
GoPhish arrantza abian jartzea
Beharrezko informazio guztia eman dugu. "Kanpaina berria" fitxan, sortu kanpaina berri bat.
Kanpaina martxan jartzea
Non:
izena
Kanpainaren izena
Posta elektronikoaren txantiloia
Mezu txantiloia
Landing Page
Phishing orria
URL
Zure GoPhish zerbitzariaren IP (sareko irisgarritasuna izan behar du biktimaren ostalariarekin)
Abiarazi data
Kanpainaren hasiera data
Bidali mezu elektronikoak arabera
Kanpainaren amaiera-data (posta uniformeki banatuta)
Profila bidaltzen
Bidaltzailearen profila
Taldeak
Posta-hartzaileen taldea
Hasi ondoren, beti ezagutu ahal izango ditugu estatistikak, hauek adierazten dutenak: bidalitako mezuak, irekitako mezuak, esteketan klik egitean, utzitako datuak spam-era transferituta.
Estatistiketan mezu bat bidali dela ikusten dugu, ikus dezagun posta hartzailearen aldetik:
Izan ere, biktimak arrakastaz jaso zuen phishing-mezu bat, bere enpresa-kontuaren pasahitza aldatzeko esteka bat jarraitzeko eskatuz. Eskatutako ekintzak egiten ditugu, Landing Pageetara bidaltzen gaituzte, zer gertatzen da estatistikekin?
Ondorioz, gure erabiltzaileak phishing esteka batean klik egin zuen, non bere kontuaren informazioa utz zezakeen.
Egilearen oharra: datuak sartzeko prozesua ez da erregistratu proba-diseinua erabiltzeagatik, baina aukera hori badago. Hala ere, edukia ez dago enkriptatuta eta GoPhish datu-basean gordetzen da. Kontuan izan hau.
Horren ordez Ondorio baten
Gaur egun, langileentzako prestakuntza automatizatua egitearen gaia hizpide izan dugu, phishing-erasoetatik babesteko eta haietan informatikako ezagutza garatzeko. Gophish irtenbide merke gisa zabaldu zen, eta emaitza onak erakutsi zituen hedapen-denborari eta emaitzari dagokionez. Tresna eskuragarri honekin, zure langileak ikuskatu ditzakezu eta haien portaerari buruzko txostenak sor ditzakezu. Produktu hau interesatzen bazaizu, hura zabaltzeko eta zure langileak ikuskatzeko laguntza eskaintzen dizugu ([posta elektroniko bidez babestua]).
Hala ere, ez gara irtenbide bat berrikusten geldituko eta zikloarekin jarraitzeko asmoa dugu, non prestakuntza prozesua automatizatzeko eta langileen segurtasuna kontrolatzeko Enterprise soluzioei buruz hitz egingo dugun. Egon gurekin eta egon adi!
Iturria: www.habr.com