Nykyään verkonvalvoja tai tietoturva-insinööri käyttää paljon aikaa ja vaivaa suojellakseen yritysverkon kehää erilaisilta uhkilta, hallitsemalla uusia järjestelmiä tapahtumien ehkäisyyn ja valvontaan, mutta tämäkään ei takaa täydellistä turvallisuutta. Hyökkääjät käyttävät sosiaalista manipulointia aktiivisesti, ja sillä voi olla vakavia seurauksia.
Kuinka usein olet huomannut itsesi ajattelevan: "Olisi kiva järjestää henkilökunnalle tietoturvalukutaidon koe"? Valitettavasti ajatukset törmäävät väärinkäsitysten seinään suuren tehtävien määrän tai rajoitetun ajan työpäivän muodossa. Aiomme kertoa sinulle henkilöstökoulutuksen automatisoinnin alan nykyaikaisista tuotteista ja teknologioista, jotka eivät vaadi pitkää koulutusta pilotointiin tai käyttöönottoon, vaan kaikesta järjestyksessä.
Teoreettinen perusta
Nykyään yli 80 % haitallisista tiedostoista jaetaan sähköpostitse (tiedot on otettu Check Pointin asiantuntijoiden viimeisen vuoden raporteista Intelligence Reports -palvelun avulla).
Raportti viimeisten 30 päivän ajalta haitallisten tiedostojen levittämisen hyökkäysvektorista (Venäjä) - Check Point
Tämä viittaa siihen, että sähköpostiviestien sisältö on melko alttiina hyökkääjien hyväksikäytölle. Jos otamme huomioon suosituimpia haitallisia tiedostomuotoja liitteissä (EXE, RTF, DOC), on syytä huomata, että ne sisältävät yleensä automaattisia koodin suorittamisen elementtejä (skriptit, makrot).
Vuosiraportti vastaanotettujen haitallisten viestien tiedostomuodoista - Check Point
Kuinka käsitellä tätä hyökkäysvektoria? Postin tarkistamiseen käytetään suojaustyökaluja:
-
antivirus — uhkien allekirjoituksen havaitseminen.
-
Emulointi - hiekkalaatikko, jolla liitteet avataan eristetyssä ympäristössä.
-
Sisällön tietoisuus — aktiivisten elementtien poimiminen asiakirjoista. Käyttäjä saa puhdistetun asiakirjan (yleensä PDF-muodossa).
-
Roskapostin torjunta — vastaanottajan/lähettäjän verkkotunnuksen maineen tarkistaminen.
Ja teoriassa tämä riittää, mutta yritykselle on toinen yhtä arvokas resurssi - työntekijöiden yritys- ja henkilötiedot. Viime vuosina seuraavan tyyppisten Internet-petosten suosio on kasvanut aktiivisesti:
phishing (Englannin phishing, kalastuksesta - kalastus, kalastus) - eräänlainen Internet-petos. Sen tarkoituksena on hankkia käyttäjän tunnistetietoja. Tämä sisältää salasanojen, luottokorttien numeroiden, pankkitilien ja muiden arkaluonteisten tietojen varastamisen.
Hyökkääjät parantavat tietojenkalasteluhyökkäysmenetelmiä, uudelleenohjaavat DNS-pyyntöjä suosituilta sivustoilta ja käynnistävät kokonaisia kampanjoita sosiaalisen manipuloinnin avulla sähköpostien lähettämiseen.
Yrityksesi sähköpostin suojaamiseksi tietojenkalastelulta on siis suositeltavaa käyttää kahta lähestymistapaa, ja niiden yhdistetty käyttö johtaa parhaisiin tuloksiin:
-
Tekniset suojatyökalut. Kuten aiemmin mainittiin, vain laillisen postin tarkistamiseen ja edelleenlähettämiseen käytetään erilaisia tekniikoita.
-
Henkilöstön teoreettinen koulutus. Se koostuu kattavasta henkilöstön testauksesta mahdollisten uhrien tunnistamiseksi. Sitten heidät koulutetaan uudelleen ja tilastoja kirjataan jatkuvasti.
Älä luota ja tarkista
Tänään puhumme toisesta lähestymistavasta tietojenkalasteluhyökkäysten estämiseen, nimittäin automatisoidusta henkilöstön koulutuksesta yritys- ja henkilötietojen yleisen turvallisuustason nostamiseksi. Miksi tämä voi olla niin vaarallista?
sosiaalinen suunnittelu — ihmisten psykologinen manipulointi tiettyjen toimien suorittamiseksi tai luottamuksellisten tietojen paljastamiseksi (tietoturvaan liittyen).
Kaavio tyypillisestä tietojenkalasteluhyökkäyksen käyttöönottoskenaariosta
Katsotaanpa hauskaa vuokaaviota, joka kuvaa lyhyesti tietojenkalastelukampanjan matkaa. Siinä on eri vaiheita:
-
Ensisijaisten tietojen kerääminen.
21-luvulla on vaikea löytää henkilöä, joka ei ole rekisteröitynyt mihinkään sosiaaliseen verkostoon tai erilaisiin temaattisiin foorumeihin. Luonnollisesti monet meistä jättävät tarkkoja tietoja itsestään: nykyinen työpaikka, työkaveriryhmä, puhelin, posti jne. Lisää tähän henkilökohtaiset tiedot henkilön kiinnostuksen kohteista ja sinulla on tiedot tietojenkalastelumallin muodostamiseksi. Vaikka emme löytäneetkään ihmisiä, joilla on tällaisia tietoja, löytyy aina yrityksen verkkosivusto, josta voimme löytää kaikki meitä kiinnostavat tiedot (verkkotunnuksen sähköposti, yhteystiedot, yhteydet).
-
Kampanjan käynnistäminen.
Kun sinulla on ponnahduslauta, voit käyttää ilmaisia tai maksullisia työkaluja käynnistääksesi oman kohdistetun tietojenkalastelukampanjasi. Postitusprosessin aikana keräät tilastoja: posti toimitettu, posti avattu, linkit napsautettu, kirjautumistiedot syötetty jne.
Tuotteet markkinoilla
Tietojenkalastelua voivat käyttää sekä hyökkääjät että yrityksen tietoturvatyöntekijät suorittaakseen jatkuvan tarkastuksen työntekijöiden käyttäytymisestä. Mitä ilmaisten ja kaupallisten ratkaisujen markkinat yritysten työntekijöiden automatisoituun koulutusjärjestelmään tarjoavat meille:
-
on avoimen lähdekoodin projekti, jonka avulla voit ottaa käyttöön tietojenkalastelukampanjan työntekijöiden IT-lukutaidon tarkistamiseksi. Katsoisin etuna käyttöönoton helppous ja minimaaliset järjestelmävaatimukset. Haittapuolena ovat valmiiden postitusmallien puute, henkilöstön testien ja koulutusmateriaalien puute.
-
— sivusto, jossa on suuri määrä saatavilla olevia tuotteita testaushenkilöstölle.
-
— automatisoitu järjestelmä työntekijöiden testaamiseen ja koulutukseen. Hänellä on erilaisia versioita tuotteista, jotka tukevat 10 - yli 1000 työntekijää. Koulutus sisältää teoria- ja käytännön tehtäviä, tarpeita on mahdollista tunnistaa phishing-kampanjan jälkeen saatujen tilastojen perusteella. Ratkaisu on kaupallinen ja mahdollisuus koekäyttöön.
-
— automaattinen koulutus- ja turvavalvontajärjestelmä. Kaupallinen tuote tarjoaa määräaikaiskoulutushyökkäyksiä, työntekijöiden koulutusta jne. Tuotteen demoversiona tarjotaan kampanjaa, joka sisältää mallien käyttöönoton ja kolmen koulutushyökkäyksen suorittamisen.
Edellä mainitut ratkaisut ovat vain osa automatisoidun henkilöstön koulutusmarkkinoiden tuotteista. Jokaisella on tietysti omat hyvät ja huonot puolensa. Tänään tutustutaan , simuloi tietojenkalasteluhyökkäystä ja tutki käytettävissä olevia vaihtoehtoja.
GoPhish
Joten on aika harjoitella. GoPhish ei valittu sattumalta: se on käyttäjäystävällinen työkalu, jossa on seuraavat ominaisuudet:
-
Yksinkertaistettu asennus ja käynnistys.
-
REST API -tuki. Voit luoda kyselyitä kohteesta ja käytä automaattisia komentosarjoja.
-
Kätevä graafinen ohjausliittymä.
-
Cross-platform.
Kehitystiimi on valmistanut erinomaisen GoPhishin käyttöönotosta ja määrittämisestä. Itse asiassa sinun tarvitsee vain mennä , lataa ZIP-arkisto vastaavalle käyttöjärjestelmälle, suorita sisäinen binaaritiedosto, jonka jälkeen työkalu asennetaan.
TÄRKEÄ ILMOITUS!
Tämän seurauksena sinun pitäisi saada terminaaliin tiedot käyttöönotetusta portaalista sekä valtuutustiedot (koskee versiota 0.10.1 vanhempia versioita). Älä unohda suojata salasanaa itsellesi!
msg="Please login with the username admin and the password <ПАРОЛЬ>"GoPhishin asennuksen ymmärtäminen
Asennuksen jälkeen sovellushakemistoon luodaan asetustiedosto (config.json). Kuvataan parametrit sen muuttamiseen:
avain
Arvo (oletus)
Kuvaus
admin_server.listen_url
127.0.0.1:3333
GoPhish-palvelimen IP-osoite
admin_server.use_tls
väärä
Käytetäänkö TLS:ää yhteyden muodostamiseen GoPhish-palvelimeen
admin_server.cert_path
esimerkki.crt
Polku GoPhish-hallintaportaalin SSL-varmenteeseen
admin_server.key_path
esimerkki.avain
Polku yksityiseen SSL-avaimeen
phish_server.listen_url
0.0.0.0:80
IP-osoite ja portti, jossa tietojenkalastelusivua isännöidään (oletusarvoisesti sitä isännöi itse GoPhish-palvelin portissa 80)
—> Siirry hallintaportaaliin. Meidän tapauksessamme: https://127.0.0.1:3333
—> Sinua pyydetään vaihtamaan melko pitkä salasana yksinkertaisempaan tai päinvastoin.
Lähettäjäprofiilin luominen
Siirry "Lähetysprofiilit" -välilehteen ja anna tiedot käyttäjästä, jolta sähköpostimme tulevat:
Missä:
Nimi
Lähettäjän nimi
alkaen
Lähettäjän sähköposti
Isäntä
Sen postipalvelimen IP-osoite, josta tulevaa postia kuunnellaan.
Käyttäjätunnus
Postipalvelimen käyttäjätilin kirjautuminen.
Salasana
Sähköpostipalvelimen käyttäjätilin salasana.
Voit myös lähettää testiviestin varmistaaksesi toimituksen onnistumisen. Tallenna asetukset "Tallenna profiili" -painikkeella.
Luodaan vastaanottajaryhmä
Seuraavaksi sinun tulee muodostaa ryhmä "ketjukirjeiden" vastaanottajia. Siirry kohtaan "Käyttäjät ja ryhmät" → "Uusi ryhmä". On kaksi tapaa lisätä: manuaalisesti tai tuomalla CSV-tiedosto.
Toinen menetelmä vaatii seuraavat pakolliset kentät:
-
Etunimi
-
Sukunimi
-
Sähköposti
-
asema
Esimerkki:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Tietojenkalastelusähköpostimallin luominen
Kun olemme tunnistaneet kuvitteellisen hyökkääjän ja mahdolliset uhrit, meidän on luotava viestipohja. Voit tehdä tämän siirtymällä kohtaan "Sähköpostimallit" → "Uudet mallit".
Mallia muodostettaessa käytetään teknistä ja luovaa lähestymistapaa, palvelusta tulee määritellä viesti, joka on uhrin käyttäjille tuttu tai saa aikaan tietyn reaktion. Mahdolliset vaihtoehdot:
Nimi
Mallin nimi
Aihe
Kirjeen aihe
Teksti / HTML
Kenttä tekstin tai HTML-koodin syöttämiseen
Gophish tukee kirjainten tuontia, mutta luomme omat. Tätä varten simuloimme skenaariota: yrityskäyttäjä saa yrityssähköpostistaan kirjeen, jossa häntä pyydetään vaihtamaan salasana. Seuraavaksi analysoidaan hänen reaktiotaan ja katsotaan "saaliiamme".
Käytämme mallissa sisäänrakennettuja muuttujia. Lisätietoja löytyy yllä olevasta Luvussa .
Ensin ladataan seuraava teksti:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamVastaavasti käyttäjän nimi syötetään automaattisesti (aiemmin määritellyn "Uusi ryhmä" -kohdan mukaan) ja hänen postiosoitteensa ilmoitetaan.
Seuraavaksi meidän pitäisi tarjota linkki tietojenkalasteluresurssimme. Voit tehdä tämän korostamalla sanan "täällä" tekstissä ja valitsemalla "Linkki"-vaihtoehdon ohjauspaneelista.
Asetamme URL-osoitteeksi sisäänrakennetun muuttujan {{.URL}}, jonka täytämme myöhemmin. Se upotetaan automaattisesti tietojenkalasteluviestin tekstiin.
Ennen kuin tallennat mallin, älä unohda ottaa käyttöön "Lisää seurantakuva" -vaihtoehtoa. Tämä lisää 1x1 pikselin mediaelementin, joka seuraa, onko käyttäjä avannut sähköpostin.
Jäljellä ei siis ole paljon, mutta teemme ensin yhteenvedon tarvittavista vaiheista kirjautumisen jälkeen Gophish-portaaliin:
-
Luo lähettäjäprofiili;
-
Luo jakeluryhmä, jossa määrität käyttäjät;
-
Luo tietojenkalasteluviestimalli.
Samaa mieltä, asennus ei vienyt paljon aikaa ja olemme melkein valmiita käynnistämään kampanjamme. Jäljelle jää vain tietojenkalastelusivun lisääminen.
Tietojenkalastelusivun luominen
Siirry Aloitussivut-välilehteen.
Meitä pyydetään määrittämään objektin nimi. Lähdesivusto on mahdollista tuoda. Esimerkissämme yritin määrittää sähköpostipalvelimen toimivan verkkoportaalin. Näin ollen se tuotiin HTML-koodina (tosin ei kokonaan). Seuraavat ovat mielenkiintoisia vaihtoehtoja käyttäjän syötteiden sieppaamiseen:
-
Kaappaa lähetetyt tiedot. Jos määritetty sivustosivu sisältää erilaisia syöttölomakkeita, kaikki tiedot tallennetaan.
-
Capture Passwords - kaappaa syötetyt salasanat. Tiedot kirjoitetaan GoPhish-tietokantaan ilman salausta, sellaisenaan.
Lisäksi voimme käyttää "Redirect to" -vaihtoehtoa, joka ohjaa käyttäjän määritetylle sivulle tunnistetietojen syöttämisen jälkeen. Haluan muistuttaa, että olemme asettaneet skenaarion, jossa käyttäjää kehotetaan vaihtamaan yrityksen sähköpostin salasana. Tätä varten hänelle tarjotaan väärennetyn postin valtuutusportaalisivua, jonka jälkeen käyttäjä voidaan lähettää mihin tahansa käytettävissä olevaan yrityksen resurssiin.
Muista tallentaa valmis sivu ja siirtyä "Uusi kampanja" -osioon.
GoPhish-kalastuksen julkaisu
Olemme toimittaneet kaikki tarvittavat tiedot. Luo uusi kampanja Uusi kampanja -välilehdellä.
Kampanjan aloitus
Missä:
Nimi
Kampanjan nimi
Sähköpostimalli
Viestimalli
Aloitussivu
Tietojenkalastelusivu
URL
GoPhish-palvelimesi IP-osoite (verkon on oltava saavutettavissa uhrin isännän kanssa)
Julkaisupäivä
Kampanjan alkamispäivä
Sähköpostien lähettäminen
Kampanjan päättymispäivä (postitus jakautuu tasaisesti)
Lähetysprofiili
Lähettäjäprofiili
Ryhmät
Postituksen vastaanottajaryhmä
Aloituksen jälkeen voimme aina tutustua tilastoihin, jotka osoittavat: lähetetyt viestit, avatut viestit, linkkien napsautukset, jätetyt tiedot siirretty roskapostiin.
Tilastoista näemme, että 1 viesti lähetettiin, tarkistetaan posti vastaanottajan puolelta:
Uhri todellakin sai onnistuneesti tietojenkalasteluviestin, jossa häntä pyydettiin seuraamaan linkkiä vaihtamaan yrityksensä salasana. Suoritamme pyydetyt toimenpiteet, meidät lähetetään aloitussivuille, entä tilastot?
Tämän seurauksena käyttäjämme napsautti tietojenkalastelulinkkiä, johon hän saattoi jättää tilitietonsa.
Tekijän huomautus: tietojen syöttöprosessia ei tallennettu testiasettelun käytön vuoksi, mutta tällainen vaihtoehto on olemassa. Sisältöä ei kuitenkaan ole salattu ja se on tallennettu GoPhish-tietokantaan, pidä tämä mielessä.
Sen sijaan johtopäätös
Tänään käsittelimme ajankohtaista aihetta automatisoidun koulutuksen järjestämisestä työntekijöille, joiden tarkoituksena on suojella heitä phishing-hyökkäyksiltä ja kehittää IT-lukutaitoa. Gophish otettiin käyttöön edullisena ratkaisuna, joka osoitti hyviä tuloksia käyttöönottoajan ja tuloksen suhteen. Tämän helppokäyttöisen työkalun avulla voit tarkastaa työntekijäsi ja luoda raportteja heidän käyttäytymisestään. Jos olet kiinnostunut tästä tuotteesta, tarjoamme apua sen käyttöönotossa ja työntekijöiden auditoinnissa ([sähköposti suojattu]).
Emme kuitenkaan pysähdy yhteen ratkaisuun, vaan aiomme jatkaa sykliä, jossa puhutaan Enterprise-ratkaisuista koulutusprosessin automatisointiin ja työntekijöiden turvallisuuden valvontaan. Pysy kanssamme ja ole valppaana!
Lähde: will.com