1. آموزش اصول اولیه امنیت اطلاعات به کاربران. مبارزه با فیشینگ

امروزه یک مدیر شبکه یا مهندس امنیت اطلاعات زمان و تلاش زیادی را صرف محافظت از محیط یک شبکه سازمانی در برابر تهدیدات مختلف می کند و بر سیستم های جدید برای پیشگیری و نظارت بر رویدادها تسلط دارد، اما حتی این نیز امنیت کامل را تضمین نمی کند. مهندسی اجتماعی به طور فعال توسط مهاجمان استفاده می شود و می تواند عواقب جدی داشته باشد.

هر چند وقت یکبار فکر کرده اید: "خوب است که یک آزمون برای کارکنان در مورد سواد امنیت اطلاعات ترتیب دهیم"؟ متأسفانه، افکار در قالب تعداد زیادی کار یا زمان محدود در روز کاری به دیواری از سوء تفاهم برخورد می کنند. ما قصد داریم در مورد محصولات و فناوری های مدرن در زمینه اتوماسیون آموزش پرسنل به شما بگوییم که برای خلبانی یا پیاده سازی نیازی به آموزش طولانی مدت نیست، بلکه در مورد همه چیز به ترتیب نیاز است.

مبانی نظری

امروزه بیش از 80 درصد فایل‌های مخرب از طریق ایمیل (داده‌های گرفته شده از گزارش‌های متخصصان Check Point در سال گذشته با استفاده از سرویس گزارش‌های اطلاعاتی) توزیع می‌شوند.

گزارش 30 روز گذشته در مورد بردار حمله برای توزیع فایل های مخرب (روسیه) - Check Point

این نشان می دهد که محتوای موجود در پیام های ایمیل کاملاً در معرض سوء استفاده مهاجمان است. اگر محبوب ترین فرمت های فایل های مخرب را در پیوست ها در نظر بگیریم (EXE، RTF، DOC)، شایان ذکر است که آنها، به عنوان یک قاعده، حاوی عناصر خودکار اجرای کد (اسکریپت ها، ماکروها) هستند.

گزارش سالانه در مورد فرمت های فایل در پیام های مخرب دریافتی - Check Point

چگونه با این بردار حمله برخورد کنیم؟ بررسی نامه شامل استفاده از ابزارهای امنیتی است: 

• آنتی ویروس - شناسایی امضای تهدیدات.

• تقلید - یک جعبه شنی که با آن پیوست ها در یک محیط ایزوله باز می شوند.

• آگاهی از محتوا - استخراج عناصر فعال از اسناد کاربر یک سند پاک شده (معمولا در قالب PDF) دریافت می کند.

• آنتی اسپم - بررسی اعتبار دامنه گیرنده/فرستنده.

و، از نظر تئوری، این کافی است، اما یک منبع به همان اندازه ارزشمند دیگر برای شرکت وجود دارد - داده های شرکتی و شخصی کارکنان. در سال های اخیر، محبوبیت نوع تقلب اینترنتی زیر به طور فعال در حال افزایش است:

فیشینگ (فیشینگ انگلیسی، از ماهیگیری - ماهیگیری، ماهیگیری) - نوعی کلاهبرداری اینترنتی. هدف آن به دست آوردن اطلاعات شناسایی کاربر است. این شامل سرقت رمزهای عبور، شماره کارت اعتباری، حساب های بانکی و سایر اطلاعات حساس است.

مهاجمان روش‌های حملات فیشینگ را بهبود می‌بخشند، درخواست‌های DNS را از سایت‌های محبوب هدایت می‌کنند و کل کمپین‌ها را با استفاده از مهندسی اجتماعی برای ارسال ایمیل راه‌اندازی می‌کنند. 

بنابراین، برای محافظت از ایمیل شرکتی خود در برابر فیشینگ، توصیه می شود از دو روش استفاده کنید و استفاده ترکیبی از آنها منجر به بهترین نتایج می شود:

1. ابزار حفاظت فنی. همانطور که قبلاً ذکر شد، از فناوری‌های مختلفی برای بررسی و ارسال فقط نامه‌های قانونی استفاده می‌شود.

2. آموزش تئوری پرسنل. این شامل آزمایش جامع پرسنل برای شناسایی قربانیان بالقوه است. سپس بازآموزی می شوند و مدام آمار ثبت می شود.   

اعتماد نکنید و بررسی کنید

امروز ما در مورد رویکرد دوم برای جلوگیری از حملات فیشینگ، یعنی آموزش خودکار پرسنل به منظور افزایش سطح کلی امنیت داده های شرکتی و شخصی صحبت خواهیم کرد. چرا این می تواند اینقدر خطرناک باشد؟

مهندسی اجتماعی - دستکاری روانی افراد به منظور انجام برخی اقدامات یا افشای اطلاعات محرمانه (در رابطه با امنیت اطلاعات).

نمودار یک سناریوی استقرار حمله فیشینگ معمولی

بیایید به یک فلوچارت سرگرم کننده نگاهی بیندازیم که به طور خلاصه سفر یک کمپین فیشینگ را نشان می دهد. مراحل مختلفی دارد:

1. جمع آوری داده های اولیه

   در قرن بیست و یکم، به سختی می توان فردی را پیدا کرد که در هیچ شبکه اجتماعی یا انجمن های موضوعی مختلف ثبت نام نکرده باشد. به طور طبیعی، بسیاری از ما اطلاعات دقیقی درباره خود به جا می گذاریم: محل کار فعلی، گروه برای همکاران، تلفن، پست و غیره. به این اطلاعات شخصی شده درباره علایق یک شخص اضافه کنید و داده هایی برای تشکیل یک الگوی فیشینگ در اختیار خواهید داشت. حتی اگر نتوانستیم افرادی را با چنین اطلاعاتی پیدا کنیم، همیشه یک وب سایت شرکتی وجود دارد که می توانیم تمام اطلاعات مورد علاقه خود را (ایمیل دامنه، مخاطبین، اتصالات) در آن پیدا کنیم.

2. راه اندازی کمپین.

   هنگامی که یک سکوی پرشی در جای خود دارید، می توانید از ابزارهای رایگان یا پولی برای راه اندازی کمپین فیشینگ هدفمند خود استفاده کنید. در طول فرآیند پستی، آماری را جمع آوری خواهید کرد: نامه تحویل شده، نامه باز شده، پیوندها کلیک شده، اعتبارنامه وارد شده، و غیره.

محصولات موجود در بازار

فیشینگ می تواند توسط مهاجمان و کارکنان امنیت اطلاعات شرکت به منظور انجام ممیزی مداوم از رفتار کارکنان استفاده شود. بازار راه حل های رایگان و تجاری برای سیستم آموزش خودکار برای کارکنان شرکت به ما ارائه می دهد:

1. GoPhish یک پروژه متن باز است که به شما امکان می دهد یک کمپین فیشینگ برای بررسی سواد IT کارکنان خود راه اندازی کنید. من مزایای آن را سهولت استقرار و حداقل سیستم مورد نیاز می دانم. معایب آن فقدان قالب های پستی آماده، نبود تست و مواد آموزشی برای کارکنان است.

2. KnowBe4 - سایتی با تعداد زیادی محصولات موجود برای آزمایش پرسنل.

3. فیشمن - سیستم خودکار برای آزمایش و آموزش کارکنان. دارای نسخه های مختلف محصولات با پشتیبانی از 10 تا بیش از 1000 کارمند. دوره های آموزشی شامل تکالیف تئوری و عملی می باشد و بر اساس آمار بدست آمده پس از یک کمپین فیشینگ می توان نیازها را شناسایی کرد. راه حل تجاری با امکان استفاده آزمایشی است.

4. ضد فیشینگ - آموزش خودکار و سیستم نظارت بر امنیت. محصول تجاری حملات دوره ای آموزشی، آموزش کارکنان و غیره را ارائه می دهد. یک کمپین به عنوان یک نسخه آزمایشی از محصول ارائه می شود که شامل استقرار قالب ها و انجام سه حمله آموزشی است.

راه حل های فوق تنها بخشی از محصولات موجود در بازار آموزش پرسنل خودکار می باشد. البته هر کدام مزایا و معایب خاص خود را دارند. امروز با آن آشنا می شویم GoPhish، یک حمله فیشینگ را شبیه سازی کنید و گزینه های موجود را کشف کنید.

GoPhish

بنابراین، زمان تمرین است. GoPhish تصادفی انتخاب نشده است: یک ابزار کاربرپسند با ویژگی های زیر است:

1. نصب و راه اندازی ساده

2. پشتیبانی REST API. به شما امکان می دهد پرس و جو ایجاد کنید مستندات و اسکریپت های خودکار را اعمال کنید. 

3. رابط کنترل گرافیکی مناسب

4. کراس پلت فرم.

تیم توسعه یک برنامه عالی را آماده کرده است راهنما در استقرار و پیکربندی GoPhish. در واقع، تنها کاری که باید انجام دهید این است که به آن بروید مخزن، بایگانی ZIP را برای سیستم عامل مربوطه دانلود کنید، فایل باینری داخلی را اجرا کنید، پس از آن ابزار نصب خواهد شد.

یادداشت مهم!

در نتیجه، باید اطلاعات مربوط به پورتال مستقر شده و همچنین داده های مجوز (مرتبط با نسخه های قدیمی تر از نسخه 0.10.1) را در ترمینال دریافت کنید. فراموش نکنید که یک رمز عبور برای خود ایمن کنید!

msg="Please login with the username admin and the password <ПАРОЛЬ>"

آشنایی با تنظیمات GoPhish

پس از نصب، یک فایل پیکربندی (config.json) در فهرست برنامه ایجاد می شود. بیایید پارامترهای تغییر آن را شرح دهیم:

کلید

مقدار (پیش‌فرض)

شرح

admin_server.listen_url

127.0.0.1:3333

آدرس IP سرور GoPhish

admin_server.use_tls

غلط

آیا از TLS برای اتصال به سرور GoPhish استفاده می شود

admin_server.cert_path

example.crt

مسیر دسترسی به گواهی SSL برای پورتال مدیریت GoPhish

admin_server.key_path

مثال.کلید

مسیر کلید SSL خصوصی

phish_server.listen_url

0.0.0.0:80

آدرس IP و پورتی که صفحه فیشینگ در آن میزبانی می شود (به طور پیش فرض روی خود سرور GoPhish در پورت 80 میزبانی می شود)

—> به پورتال مدیریت بروید. در مورد ما: https://127.0.0.1:3333

—> از شما خواسته می شود که یک رمز عبور نسبتا طولانی را به یک رمز عبور ساده تر یا برعکس تغییر دهید.

ایجاد نمایه فرستنده

به برگه «ارسال نمایه‌ها» بروید و اطلاعاتی درباره کاربری که پست‌های ما از او منشأ می‌گیرد ارائه دهید:

که در آن:

نام

نام فرستنده

از جانب

ایمیل فرستنده

میزبان

آدرس IP سرور ایمیل که از آن نامه های دریافتی گوش داده می شود.

نام کاربری

ورود به حساب کاربری سرور ایمیل.

کلمه عبور

رمز عبور حساب کاربری سرور ایمیل.

همچنین می توانید برای اطمینان از موفقیت در تحویل، یک پیام آزمایشی ارسال کنید. تنظیمات را با استفاده از دکمه "ذخیره نمایه" ذخیره کنید.

ایجاد گروهی از گیرندگان

در مرحله بعد، باید گروهی از گیرندگان "حروف زنجیره ای" تشکیل دهید. به «کاربر و گروه‌ها» → «گروه جدید» بروید. دو راه برای اضافه کردن وجود دارد: دستی یا وارد کردن یک فایل CSV.

روش دوم به فیلدهای زیر نیاز دارد:

• نام کوچک

• نام خانوادگی

• پست الکترونیک (ایمیل)

• موقعیت

به عنوان مثال:

First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]

ایجاد یک قالب ایمیل فیشینگ

هنگامی که مهاجم خیالی و قربانیان احتمالی را شناسایی کردیم، باید یک الگو با یک پیام ایجاد کنیم. برای انجام این کار، به بخش «الگوهای ایمیل» → «الگوهای جدید» بروید.

هنگام تشکیل یک الگو، از رویکرد فنی و خلاقانه استفاده می شود؛ پیامی از سرویس باید مشخص شود که برای کاربران قربانی آشنا باشد یا واکنش خاصی را در آنها ایجاد کند. گزینه های ممکن:

نام

نام الگو

موضوع

موضوع نامه

متن/HTML

فیلد برای وارد کردن متن یا کد HTML

Gophish از وارد کردن حروف پشتیبانی می کند، اما ما حروف خود را ایجاد خواهیم کرد. برای انجام این کار، سناریویی را شبیه سازی می کنیم: یک کاربر شرکت نامه ای دریافت می کند که از او می خواهد رمز عبور را از ایمیل شرکت خود تغییر دهد. در مرحله بعد، بیایید واکنش او را تجزیه و تحلیل کنیم و به "گرفتن" خود نگاه کنیم.

ما از متغیرهای داخلی در قالب استفاده خواهیم کرد. جزئیات بیشتر را می توان در مطالب بالا یافت راهنما بخش مرجع الگو.

ابتدا متن زیر را بارگذاری می کنیم:

{{.FirstName}},

The password for {{.Email}} has expired. Please reset your password here.

Thanks,
IT Team

بر این اساس، نام کاربر به طور خودکار وارد می شود (با توجه به آیتم "گروه جدید" قبلاً مشخص شده) و آدرس پستی وی نشان داده می شود.

در مرحله بعد، ما باید یک پیوند به منبع فیشینگ خود ارائه دهیم. برای انجام این کار، کلمه "اینجا" را در متن برجسته کرده و گزینه "پیوند" را در کنترل پنل انتخاب کنید.

URL را روی متغیر داخلی {{.URL}} تنظیم می کنیم که بعداً آن را پر می کنیم. به طور خودکار در متن ایمیل فیشینگ جاسازی می شود.

قبل از ذخیره الگو، فراموش نکنید که گزینه “Add Tracking Image” را فعال کنید. با این کار یک عنصر رسانه پیکسل 1x1 اضافه می شود که ردیابی می کند که آیا کاربر ایمیل را باز کرده است یا خیر.

بنابراین، چیز زیادی باقی نمانده است، اما ابتدا مراحل لازم را پس از ورود به پورتال Gophish خلاصه می کنیم: 

1. ایجاد نمایه فرستنده؛

2. یک گروه توزیع ایجاد کنید که در آن کاربران را مشخص کنید.

3. یک قالب ایمیل فیشینگ ایجاد کنید.

موافقم، راه اندازی زمان زیادی نگرفت و ما تقریباً آماده راه اندازی کمپین خود هستیم. تنها چیزی که باقی می ماند اضافه کردن یک صفحه فیشینگ است.

ایجاد یک صفحه فیشینگ

به تب "صفحات فرود" بروید.

از ما خواسته می شود که نام شی را مشخص کنیم. امکان وارد کردن سایت مبدا وجود دارد. در مثال ما، من سعی کردم پورتال وب در حال کار سرور ایمیل را مشخص کنم. بر این اساس، به عنوان کد HTML (البته نه به طور کامل) وارد شد. موارد زیر گزینه های جالبی برای گرفتن ورودی کاربر هستند:

• گرفتن داده های ارسالی اگر صفحه سایت مشخص شده حاوی فرم های ورودی مختلف باشد، تمام داده ها ثبت خواهند شد.

• ضبط رمزهای عبور - رمزهای عبور وارد شده را ضبط کنید. داده ها بدون رمزگذاری در پایگاه داده GoPhish نوشته می شوند.

علاوه بر این، می‌توانیم از گزینه “Redirect to” استفاده کنیم که پس از وارد کردن اطلاعات کاربری، کاربر را به صفحه مشخصی هدایت می‌کند. اجازه دهید به شما یادآوری کنم که ما سناریویی را تنظیم کرده ایم که در آن از کاربر خواسته می شود رمز عبور ایمیل شرکتی را تغییر دهد. برای انجام این کار، یک صفحه پورتال مجوز ایمیل جعلی به او پیشنهاد می شود، پس از آن کاربر می تواند به هر منبع موجود شرکت ارسال شود.

فراموش نکنید که صفحه تکمیل شده را ذخیره کنید و به بخش "کمپین جدید" بروید.

راه اندازی ماهیگیری GoPhish

ما تمام اطلاعات لازم را ارائه کرده ایم. در تب "کمپین جدید"، یک کمپین جدید ایجاد کنید.

راه اندازی کمپین

که در آن:

نام

نام کمپین

الگوی ایمیل

الگوی پیام

صفحه فرود

صفحه فیشینگ

URL

IP سرور GoPhish شما (باید قابلیت دسترسی به شبکه با میزبان قربانی داشته باشد)

تاریخ عرضه

تاریخ شروع کمپین

ارسال ایمیل توسط

تاریخ پایان کمپین (توزیع پستی به طور مساوی)

ارسال نمایه

مشخصات فرستنده

گروه ها

گروه گیرنده پست

پس از شروع، ما همیشه می توانیم با آماری آشنا شویم که نشان می دهد: پیام های ارسال شده، پیام های باز شده، کلیک روی لینک ها، داده های باقی مانده به هرزنامه منتقل شده است.

از آمار می بینیم که 1 پیام ارسال شده است، بیایید نامه را از طرف گیرنده بررسی کنیم:

در واقع، قربانی با موفقیت یک ایمیل فیشینگ دریافت کرد که از او می خواست برای تغییر رمز عبور حساب شرکتی خود پیوندی را دنبال کند. ما اقدامات درخواستی را انجام می دهیم، به صفحات فرود فرستاده می شویم، در مورد آمار چطور؟

در نتیجه، کاربر ما روی پیوند فیشینگ کلیک کرد، جایی که به طور بالقوه می‌توانست اطلاعات حساب خود را بگذارد.

یادداشت نویسنده: فرآیند ورود داده ها به دلیل استفاده از طرح آزمایشی ثبت نشده است، اما چنین گزینه ای وجود دارد. با این حال، محتوا رمزگذاری نشده است و در پایگاه داده GoPhish ذخیره می شود، لطفا این را در نظر داشته باشید.

به جای یک نتیجه گیری

امروز ما به موضوع فعلی انجام آموزش خودکار برای کارکنان به منظور محافظت از آنها در برابر حملات فیشینگ و توسعه سواد فناوری اطلاعات در آنها پرداختیم. Gophish به عنوان یک راه حل مقرون به صرفه به کار گرفته شد که نتایج خوبی از نظر زمان استقرار و نتیجه نشان داد. با استفاده از این ابزار قابل دسترس، می توانید کارمندان خود را حسابرسی کرده و گزارش هایی در مورد رفتار آنها ایجاد کنید. اگر به این محصول علاقه مند هستید، ما در راه اندازی آن و ممیزی کارکنان شما کمک می کنیم ([ایمیل محافظت شده]).

با این حال، ما در بررسی یک راه حل متوقف نمی شویم و برای ادامه چرخه برنامه ریزی می کنیم، جایی که در مورد راه حل های Enterprise برای خودکارسازی فرآیند آموزش و نظارت بر امنیت کارکنان صحبت خواهیم کرد. با ما بمانید و هوشیار باشید!

منبع: www.habr.com