ProHoster > Blog > administration > 1. Former les utilisateurs aux bases de la sécurité de l'information. Lutte contre le phishing
1. Former les utilisateurs aux bases de la sécurité de l'information. Lutte contre le phishing
Aujourd'hui, un administrateur réseau ou un ingénieur en sécurité de l'information consacre beaucoup de temps et d'efforts à protéger le périmètre d'un réseau d'entreprise contre diverses menaces, maîtrisant de nouveaux systèmes de prévention et de surveillance des événements, mais même cela ne garantit pas une sécurité complète. L’ingénierie sociale est activement utilisée par les attaquants et peut avoir de graves conséquences.
Combien de fois vous êtes-vous surpris à penser : « Ce serait bien d'organiser un test de connaissances en matière de sécurité de l'information pour le personnel » ? Malheureusement, les pensées se heurtent à un mur d'incompréhension sous la forme d'un grand nombre de tâches ou d'un temps limité dans la journée de travail. Nous prévoyons de vous parler des produits et technologies modernes dans le domaine de l'automatisation de la formation du personnel, qui ne nécessiteront pas une longue formation pour le pilotage ou la mise en œuvre, mais de tout dans l'ordre.
Fondement théorique
Aujourd'hui, plus de 80 % des fichiers malveillants sont diffusés par courrier électronique (données extraites des rapports des spécialistes de Check Point au cours de l'année écoulée grâce au service Intelligence Reports).
Rapport des 30 derniers jours sur le vecteur d'attaque pour la distribution de fichiers malveillants (Russie) - Check Point
Cela suggère que le contenu des messages électroniques est très vulnérable à l’exploitation par des attaquants. Si l'on considère les formats de fichiers malveillants les plus populaires dans les pièces jointes (EXE, RTF, DOC), il convient de noter qu'ils contiennent généralement des éléments automatiques d'exécution de code (scripts, macros).
Rapport annuel sur les formats de fichiers dans les messages malveillants reçus - Check Point
Comment faire face à ce vecteur d’attaque ? La vérification du courrier implique l'utilisation d'outils de sécurité :
antivirus — détection de signatures de menaces.
Émulation - un bac à sable avec lequel les pièces jointes sont ouvertes dans un environnement isolé.
Sensibilisation au contenu — extraire les éléments actifs des documents. L'utilisateur reçoit un document nettoyé (généralement au format PDF).
Anti-spam — vérifier la réputation du domaine du destinataire/expéditeur.
Et, en théorie, cela suffit, mais il existe une autre ressource tout aussi précieuse pour l'entreprise : les données d'entreprise et personnelles des employés. Ces dernières années, la popularité des types de fraude sur Internet suivants a augmenté activement :
Hameçonnage (Phishing anglais, de la pêche - pêche, pêche) - un type de fraude sur Internet. Son objectif est d'obtenir des données d'identification de l'utilisateur. Cela inclut le vol de mots de passe, de numéros de carte de crédit, de comptes bancaires et d'autres informations sensibles.
Les attaquants améliorent les méthodes d'attaques de phishing, redirigent les requêtes DNS des sites populaires et lancent des campagnes entières en utilisant l'ingénierie sociale pour envoyer des e-mails.
Ainsi, pour protéger votre messagerie d'entreprise du phishing, il est recommandé d'utiliser deux approches, et leur utilisation combinée conduit aux meilleurs résultats :
Outils techniques de protection. Comme mentionné précédemment, diverses technologies sont utilisées pour vérifier et transférer uniquement le courrier légitime.
Formation théorique du personnel. Il consiste en des tests complets du personnel pour identifier les victimes potentielles. Ensuite, ils sont recyclés et des statistiques sont constamment enregistrées.
Ne faites pas confiance et vérifiez
Aujourd'hui, nous parlerons de la deuxième approche pour prévenir les attaques de phishing, à savoir la formation automatisée du personnel afin d'augmenter le niveau global de sécurité des données d'entreprise et personnelles. Pourquoi cela pourrait-il être si dangereux ?
ingénierie sociale — manipulation psychologique de personnes afin d'effectuer certaines actions ou de divulguer des informations confidentielles (en relation avec la sécurité de l'information).
Schéma d'un scénario typique de déploiement d'une attaque de phishing
Jetons un coup d'œil à un organigramme amusant qui décrit brièvement le parcours d'une campagne de phishing. Il comporte différentes étapes :
Collecte de données primaires.
Au 21ème siècle, il est difficile de trouver une personne qui n'est inscrite sur aucun réseau social ou sur divers forums thématiques. Naturellement, nous sommes nombreux à laisser des informations détaillées sur nous-mêmes : lieu de travail actuel, groupe de collègues, téléphone, courrier, etc. Ajoutez à cela des informations personnalisées sur les intérêts d’une personne et vous disposez des données nécessaires pour créer un modèle de phishing. Même si nous ne parvenons pas à trouver des personnes disposant de telles informations, il existe toujours un site Web d’entreprise sur lequel nous pouvons trouver toutes les informations qui nous intéressent (e-mail du domaine, contacts, connexions).
Lancement de la campagne.
Une fois que vous avez mis en place un tremplin, vous pouvez utiliser des outils gratuits ou payants pour lancer votre propre campagne de phishing ciblée. Au cours du processus de mailing, vous accumulerez des statistiques : courrier livré, courrier ouvert, liens cliqués, identifiants saisis, etc.
Produits sur le marché
Le phishing peut être utilisé à la fois par des attaquants et par les employés chargés de la sécurité des informations de l'entreprise afin de mener un audit continu du comportement des employés. Que nous offre le marché des solutions gratuites et commerciales pour le système automatisé de formation des salariés des entreprises :
GoPhish est un projet open source qui vous permet de déployer une campagne de phishing pour vérifier les connaissances informatiques de vos employés. Je considérerais que les avantages sont la facilité de déploiement et la configuration système minimale requise. Les inconvénients sont le manque de modèles de mailing prêts à l'emploi, le manque de tests et de matériel de formation pour le personnel.
KnowBe4 — un site avec un grand nombre de produits disponibles pour le personnel de test.
Phishman — système automatisé de test et de formation des employés. Dispose de différentes versions de produits prenant en charge de 10 à plus de 1000 XNUMX employés. Les formations comprennent des travaux théoriques et pratiques ; il est possible d'identifier les besoins à partir des statistiques obtenues après une campagne de phishing. La solution est commerciale avec possibilité d’essai.
Anti hameçonnage — système automatisé de formation et de surveillance de la sécurité. Le produit commercial propose des attaques de formation périodiques, des formations pour les employés, etc. Une campagne est proposée sous forme de version de démonstration du produit, qui comprend le déploiement de modèles et la réalisation de trois attaques de formation.
Les solutions ci-dessus ne représentent qu'une partie des produits disponibles sur le marché de la formation automatisée du personnel. Bien entendu, chacun a ses propres avantages et inconvénients. Aujourd'hui, nous allons faire connaissance avec GoPhish, simulez une attaque de phishing et explorez les options disponibles.
GoPhish
Il est donc temps de s'entraîner. GoPhish n'a pas été choisi par hasard : c'est un outil convivial doté des fonctionnalités suivantes :
Installation et démarrage simplifiés.
Prise en charge des API REST. Vous permet de créer des requêtes à partir de documentation et appliquer des scripts automatisés.
Interface de contrôle graphique pratique.
Multiplateforme.
L'équipe de développement a préparé un excellent guider sur le déploiement et la configuration de GoPhish. En fait, il suffit d'aller sur dépôt, téléchargez l'archive ZIP pour le système d'exploitation correspondant, exécutez le fichier binaire interne, après quoi l'outil sera installé.
NOTE IMPORTANTE!
En conséquence, vous devriez recevoir dans le terminal des informations sur le portail déployé, ainsi que des données d'autorisation (pertinentes pour les versions antérieures à la version 0.10.1). N'oubliez pas de vous procurer un mot de passe !
msg="Please login with the username admin and the password <ПАРОЛЬ>"
Comprendre la configuration de GoPhish
Après l'installation, un fichier de configuration (config.json) sera créé dans le répertoire de l'application. Décrivons les paramètres pour le modifier :
clé
Valeur (par défaut)
description
admin_server.listen_url
127.0.0.1:3333
Adresse IP du serveur GoPhish
admin_server.use_tls
non
TLS est-il utilisé pour se connecter au serveur GoPhish
admin_server.cert_path
exemple.crt
Chemin d'accès au certificat SSL pour le portail d'administration GoPhish
admin_server.key_path
exemple.key
Chemin d'accès à la clé SSL privée
phish_server.listen_url
0.0.0.0:80
Adresse IP et port où la page de phishing est hébergée (par défaut, elle est hébergée sur le serveur GoPhish lui-même sur le port 80)
-> Accédez au portail de gestion. Dans notre cas: https://127.0.0.1:3333
-> Il vous sera demandé de remplacer un mot de passe assez long par un mot de passe plus simple ou vice versa.
Création d'un profil d'expéditeur
Allez dans l’onglet « Profils d’envoi » et fournissez des informations sur l’utilisateur d’où proviendra notre mailing :
Où:
Nom
Nom de l'expéditeur
Du
Email de l'expéditeur
Hôte
Adresse IP du serveur de messagerie à partir duquel le courrier entrant sera écouté.
Nom d'utilisateur
Connexion au compte utilisateur du serveur de messagerie.
Mot de Passe
Mot de passe du compte utilisateur du serveur de messagerie.
Vous pouvez également envoyer un message test pour garantir le succès de la livraison. Enregistrez les paramètres à l'aide du bouton « Enregistrer le profil ».
Créer un groupe de destinataires
Ensuite, vous devez former un groupe de destinataires de « chaînes de lettres ». Allez dans « Utilisateurs et groupes » → « Nouveau groupe ». Il existe deux manières d'ajouter : manuellement ou en important un fichier CSV.
La deuxième méthode nécessite les champs obligatoires suivants :
Une fois que nous avons identifié l’attaquant imaginaire et les victimes potentielles, nous devons créer un modèle avec un message. Pour cela, rendez-vous dans la section « Modèles d'e-mails » → « Nouveaux modèles ».
Lors de la création d'un modèle, une approche technique et créative est utilisée : il convient de spécifier un message du service qui sera familier aux utilisateurs victimes ou qui provoquera une certaine réaction. Options possibles :
Nom
Nom du modèle
Sujet
Sujet de la lettre
Texte / HTML
Champ de saisie de texte ou de code HTML
Gophish prend en charge l'importation de lettres, mais nous créerons les nôtres. Pour ce faire, nous simulons un scénario : un utilisateur de l'entreprise reçoit un courrier lui demandant de changer le mot de passe depuis sa messagerie d'entreprise. Ensuite, analysons sa réaction et regardons notre « capture ».
Nous utiliserons des variables intégrées dans le modèle. Plus de détails peuvent être trouvés dans ce qui précède guider section Modèle de référence.
Tout d'abord, chargeons le texte suivant :
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
Ainsi, le nom de l’utilisateur sera automatiquement renseigné (selon la rubrique « Nouveau groupe » préalablement précisé) et son adresse postale sera indiquée.
Ensuite, nous devrions fournir un lien vers notre ressource de phishing. Pour ce faire, mettez en surbrillance le mot « ici » dans le texte et sélectionnez l'option « Lien » sur le panneau de configuration.
Nous définirons l'URL sur la variable intégrée {{.URL}}, que nous remplirons plus tard. Il sera automatiquement intégré au texte de l’e-mail de phishing.
Avant d'enregistrer le modèle, n'oubliez pas d'activer l'option « Ajouter une image de suivi ». Cela ajoutera un élément multimédia de 1 x 1 pixel qui permettra de savoir si l'utilisateur a ouvert l'e-mail.
Il ne reste donc plus grand-chose, mais nous allons d’abord résumer les étapes requises après vous être connecté au portail Gophish :
Créez un profil d'expéditeur ;
Créez un groupe de distribution dans lequel vous spécifiez des utilisateurs ;
Créez un modèle d'e-mail de phishing.
D'accord, la configuration n'a pas pris beaucoup de temps et nous sommes presque prêts à lancer notre campagne. Il ne reste plus qu'à ajouter une page de phishing.
Créer une page de phishing
Accédez à l'onglet « Pages de destination ».
Nous serons invités à spécifier le nom de l'objet. Il est possible d'importer le site source. Dans notre exemple, j'ai essayé de spécifier le portail Web fonctionnel du serveur de messagerie. En conséquence, il a été importé sous forme de code HTML (mais pas complètement). Les options suivantes sont intéressantes pour capturer les entrées de l'utilisateur :
Capturez les données soumises. Si la page du site spécifiée contient divers formulaires de saisie, toutes les données seront enregistrées.
Capturer les mots de passe - capturez les mots de passe saisis. Les données sont écrites telles quelles dans la base de données GoPhish sans cryptage.
De plus, nous pouvons utiliser l'option « Rediriger vers », qui redirigera l'utilisateur vers une page spécifiée après avoir saisi les informations d'identification. Permettez-moi de vous rappeler que nous avons défini un scénario dans lequel l'utilisateur est invité à modifier le mot de passe de la messagerie d'entreprise. Pour ce faire, une fausse page de portail d'autorisation de courrier lui est proposée, après quoi l'utilisateur peut être dirigé vers n'importe quelle ressource disponible de l'entreprise.
N'oubliez pas de sauvegarder la page complétée et de vous rendre dans la section « Nouvelle campagne ».
Lancement de la pêche GoPhish
Nous avons fourni toutes les informations nécessaires. Dans l'onglet « Nouvelle campagne », créez une nouvelle campagne.
Lancement de la campagne
Où:
Nom
Nom de la campagne
Modèle de courrier électronique
Modèle de message
Page de Destination
Page de phishing
URL
IP de votre serveur GoPhish (doit avoir une accessibilité réseau avec l'hôte de la victime)
Date de lancement
Date de début de la campagne
Envoyer des e-mails par
Date de fin de la campagne (mailing réparti uniformément)
Profil d'envoi
Profil de l'expéditeur
Groupes
Groupe de destinataires du mailing
Après le démarrage, nous pouvons toujours prendre connaissance des statistiques, qui indiquent : les messages envoyés, les messages ouverts, les clics sur les liens, les données laissées transférées vers le spam.
D’après les statistiques, nous voyons qu’1 message a été envoyé, vérifions le courrier du côté du destinataire :
En effet, la victime a reçu avec succès un email de phishing lui demandant de suivre un lien pour changer le mot de passe de son compte entreprise. On réalise les actions demandées, on est renvoyé vers les Landing Pages, qu'en est-il des statistiques ?
En conséquence, notre utilisateur a cliqué sur un lien de phishing, où il pourrait potentiellement laisser les informations de son compte.
Note de l'auteur: le processus de saisie des données n'a pas été enregistré en raison de l'utilisation d'une mise en page de test, mais une telle option existe. Cependant, le contenu n’est pas crypté et est stocké dans la base de données GoPhish, gardez cela à l’esprit.
Au lieu d'une conclusion
Aujourd'hui, nous avons abordé le sujet d'actualité de la formation automatisée des employés afin de les protéger des attaques de phishing et de développer leurs connaissances informatiques. Gophish a été déployé comme une solution abordable, qui a donné de bons résultats en termes de temps de déploiement et de résultat. Avec cet outil accessible, vous pouvez auditer vos employés et générer des rapports sur leur comportement. Si ce produit vous intéresse, nous vous proposons un accompagnement dans son déploiement et l'audit de vos collaborateurs ([email protected]).
Cependant, nous n'allons pas nous contenter d'examiner une seule solution et prévoyons de poursuivre le cycle, où nous parlerons des solutions d'entreprise pour automatiser le processus de formation et surveiller la sécurité des employés. Restez avec nous et soyez vigilant !