Hoxe en día, un administrador de rede ou enxeñeiro de seguridade da información dedica moito tempo e esforzo a protexer o perímetro dunha rede empresarial de diversas ameazas, dominando novos sistemas para previr e supervisar eventos, pero nin sequera iso garante a seguridade total. A enxeñaría social é utilizada activamente polos atacantes e pode ter graves consecuencias.
Cantas veces te sorprendeches a pensar: "Sería bo organizar unha proba para o persoal sobre alfabetización en seguridade da información"? Desafortunadamente, os pensamentos atópanse nun muro de malentendidos en forma de gran cantidade de tarefas ou tempo limitado na xornada laboral. Planeamos falarche de produtos e tecnoloxías modernas no campo da automatización da formación do persoal, que non requirirán un adestramento prolongado para pilotar ou implementar, senón sobre todo en orde.
Fundamento teórico
Hoxe en día, máis do 80% dos ficheiros maliciosos distribúense por correo electrónico (datos extraídos dos informes dos especialistas de Check Point durante o ano pasado mediante o servizo de Informes de Intelixencia).
Informe dos últimos 30 días sobre o vector de ataque para a distribución de ficheiros maliciosos (Rusia) - Check Point
Isto suxire que o contido das mensaxes de correo electrónico é bastante vulnerable á explotación por parte dos atacantes. Se temos en conta os formatos de ficheiros maliciosos máis populares en anexos (EXE, RTF, DOC), cabe destacar que, por regra xeral, conteñen elementos automáticos de execución de código (scripts, macros).
Informe anual sobre os formatos de ficheiro en mensaxes maliciosas recibidas - Check Point
Como tratar con este vector de ataque? A comprobación do correo implica o uso de ferramentas de seguridade:
-
Antivirus — Detección de sinaturas de ameazas.
-
Emulación - unha caixa de area coa que se abren anexos nun ambiente illado.
-
Coñecemento do contido — extraer elementos activos de documentos. O usuario recibe un documento limpo (normalmente en formato PDF).
-
Antispam — comprobar a reputación do dominio do destinatario/remitente.
E, en teoría, isto é suficiente, pero hai outro recurso igualmente valioso para a empresa: os datos corporativos e persoais dos empregados. Nos últimos anos, a popularidade do seguinte tipo de fraude en Internet foi crecendo activamente:
Phishing (Inglés phishing, de pesca - pesca, pesca) - un tipo de fraude en Internet. A súa finalidade é obter datos de identificación do usuario. Isto inclúe o roubo de contrasinais, números de tarxetas de crédito, contas bancarias e outra información confidencial.
Os atacantes están a mellorar os métodos de ataques de phishing, redirixindo as solicitudes de DNS de sitios populares e lanzando campañas enteiras utilizando enxeñaría social para enviar correos electrónicos.
Así, para protexer o teu correo electrónico corporativo do phishing, recoméndase utilizar dous enfoques, e o seu uso combinado conduce aos mellores resultados:
-
Ferramentas técnicas de protección. Como se mencionou anteriormente, utilízanse varias tecnoloxías para comprobar e reenviar só correos lexítimos.
-
Formación teórica do persoal. Consiste en probas exhaustivas do persoal para identificar posibles vítimas. Despois son reciclados e as estatísticas son constantemente rexistradas.
Non te fíes e comproba
Hoxe falaremos do segundo enfoque para previr ataques de phishing, é dicir, a formación automatizada do persoal para aumentar o nivel xeral de seguridade dos datos corporativos e persoais. Por que isto podería ser tan perigoso?
enxeñaría social — manipulación psicolóxica de persoas para realizar determinadas accións ou revelar información confidencial (en relación coa seguridade da información).
Diagrama dun escenario típico de implantación de ataques de phishing
Vexamos un divertido diagrama de fluxo que describe brevemente a viaxe dunha campaña de phishing. Ten diferentes etapas:
-
Recollida de datos primarios.
No século XXI é difícil atopar unha persoa que non estea rexistrada en ningunha rede social ou en varios foros temáticos. Naturalmente, moitos de nós deixamos información detallada sobre nós mesmos: lugar de traballo actual, grupo de compañeiros, teléfono, correo, etc. Engade a esta información personalizada sobre os intereses dunha persoa e terás os datos para formar un modelo de phishing. Aínda que non puidésemos atopar persoas con esa información, sempre hai un sitio web da empresa onde podemos atopar toda a información que nos interesa (correo electrónico do dominio, contactos, conexións).
-
Lanzamento da campaña.
Unha vez que teñas un trampolín, podes usar ferramentas gratuítas ou de pago para lanzar a túa propia campaña de phishing dirixida. Durante o proceso de envío, acumulará estatísticas: correo entregado, correo aberto, ligazóns premedas, credenciais introducidas, etc.
Produtos no mercado
Tanto os atacantes como os empregados de seguridade da información da empresa poden utilizar o phishing para realizar unha auditoría continua do comportamento dos empregados. Que nos ofrece o mercado de solucións gratuítas e comerciais para o sistema automatizado de formación dos empregados da empresa:
-
é un proxecto de código aberto que che permite implementar unha campaña de phishing para comprobar a alfabetización informática dos teus empregados. Consideraría que as vantaxes son a facilidade de implantación e os requisitos mínimos do sistema. As desvantaxes son a falta de modelos de correo preparados, a falta de probas e materiais de formación para o persoal.
-
— un sitio cun gran número de produtos dispoñibles para o persoal de probas.
-
— Sistema automatizado de probas e formación dos empregados. Ten varias versións de produtos que admiten de 10 a máis de 1000 empregados. Os cursos de formación inclúen traballos teóricos e prácticos; é posible identificar necesidades a partir das estatísticas obtidas tras unha campaña de phishing. A solución é comercial con posibilidade de uso de proba.
-
— Sistema automatizado de formación e vixilancia da seguridade. O produto comercial ofrece ataques de formación periódicos, formación de empregados, etc. Ofrécese unha campaña como versión de demostración do produto, que inclúe a implantación de modelos e a realización de tres ataques de adestramento.
As solucións anteriores son só unha parte dos produtos dispoñibles no mercado de formación automatizada de persoal. Por suposto, cada un ten as súas propias vantaxes e desvantaxes. Hoxe imos familiarizarnos , simula un ataque de phishing e explora as opcións dispoñibles.
GoPhish
Entón, é hora de practicar. GoPhish non foi elixido por casualidade: é unha ferramenta fácil de usar coas seguintes características:
-
Instalación e posta en marcha simplificadas.
-
Compatibilidade coa API REST. Permite crear consultas desde e aplicar scripts automatizados.
-
Interface de control gráfico conveniente.
-
Multiplataforma.
O equipo de desenvolvemento preparou un excelente sobre a implantación e configuración de GoPhish. De feito, todo o que tes que facer é ir , descargue o arquivo ZIP para o SO correspondente, execute o ficheiro binario interno, despois de que se instalará a ferramenta.
AVISO IMPORTANTE!
Como resultado, debería recibir no terminal información sobre o portal despregado, así como datos de autorización (relevantes para versións anteriores á versión 0.10.1). Non esquezas protexer un contrasinal para ti!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Comprensión da configuración de GoPhish
Despois da instalación, crearase un ficheiro de configuración (config.json) no directorio da aplicación. Imos describir os parámetros para cambialo:
Clave
Valor (predeterminado)
Descrición
admin_server.listen_url
127.0.0.1:3333
Enderezo IP do servidor GoPhish
admin_server.use_tls
teito
Utilízase TLS para conectarse ao servidor GoPhish
servidor_administrador.ruta_cert
exemplo.crt
Camiño ao certificado SSL para o portal de administración de GoPhish
servidor_administrador.ruta_clave
exemplo.chave
Camiño á clave SSL privada
phish_server.listen_url
0.0.0.0:80
Enderezo IP e porto onde está aloxada a páxina de phishing (por defecto está aloxada no propio servidor GoPhish no porto 80)
—> Vaia ao portal de xestión. No noso caso: https://127.0.0.1:3333
—> Pediráselle que cambie un contrasinal bastante longo por outro máis sinxelo ou viceversa.
Creando un perfil de remitente
Vaia á pestana "Enviando perfís" e proporcione información sobre o usuario de quen procederá o noso correo:
En que:
nome
Nome do remitente
de
Correo electrónico do remitente
Anfitrión
Enderezo IP do servidor de correo desde o que se escoitará o correo entrante.
Nome de usuario
Inicio de sesión da conta de usuario do servidor de correo.
contrasinal
Contrasinal da conta de usuario do servidor de correo.
Tamén pode enviar unha mensaxe de proba para garantir a entrega correcta. Garda a configuración usando o botón "Gardar perfil".
Creación dun grupo de destinatarios
A continuación, debes formar un grupo de destinatarios de "cartas en cadea". Vaia a "Usuario e grupos" → "Novo grupo". Hai dúas formas de engadir: manualmente ou importando un ficheiro CSV.
O segundo método require os seguintes campos obrigatorios:
-
Nome
-
Apelido
-
email
-
posición
Como exemplo:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Creación dun modelo de correo electrónico de phishing
Unha vez que identificamos o atacante imaxinario e as posibles vítimas, necesitamos crear un modelo cunha mensaxe. Para iso, vai á sección "Modelos de correo electrónico" → "Novos modelos".
Á hora de formar un modelo utilízase un enfoque técnico e creativo; debe especificarse unha mensaxe do servizo que lles resulte familiar aos usuarios vítimas ou que lles provoque certa reacción. Opcións posibles:
nome
Nome do modelo
tema
Asunto da letra
Texto/HTML
Campo para introducir texto ou código HTML
Gophish admite a importación de letras, pero crearemos as nosas propias. Para iso, simulamos un escenario: un usuario da empresa recibe unha carta na que se lle pide que cambie o contrasinal do seu correo electrónico corporativo. A continuación, analicemos a súa reacción e vexamos a nosa "captura".
Usaremos variables integradas no modelo. Pódense atopar máis detalles no anterior No capítulo .
En primeiro lugar, carguemos o seguinte texto:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamEn consecuencia, o nome do usuario introducirase automaticamente (segundo o elemento "Novo grupo") especificado anteriormente e indicarase o seu enderezo postal.
A continuación, debemos proporcionar unha ligazón ao noso recurso de phishing. Para iso, resalte a palabra "aquí" no texto e seleccione a opción "Ligazón" no panel de control.
Estableceremos o URL na variable integrada {{.URL}}, que cubriremos máis tarde. Insertarase automaticamente no texto do correo electrónico de phishing.
Antes de gardar o modelo, non esqueza activar a opción "Engadir imaxe de seguimento". Isto engadirá un elemento multimedia de 1x1 píxeles que fará un seguimento de se o usuario abriu o correo electrónico.
Polo tanto, non queda moito, pero primeiro resumiremos os pasos necesarios despois de iniciar sesión no portal Gophish:
-
Crear un perfil de remitente;
-
Cree un grupo de distribución onde especifique usuarios;
-
Crea un modelo de correo electrónico de phishing.
De acordo, a configuración non levou moito tempo e estamos case preparados para lanzar a nosa campaña. Só queda engadir unha páxina de phishing.
Creación dunha páxina de phishing
Vaia á pestana "Páxinas de destino".
Pedirásenos que especifiquemos o nome do obxecto. É posible importar o sitio de orixe. No noso exemplo, tentei especificar o portal web de traballo do servidor de correo. En consecuencia, importouse como código HTML (aínda que non completamente). As seguintes son opcións interesantes para capturar a entrada do usuario:
-
Captura de datos enviados. Se a páxina do sitio especificada contén varios formularios de entrada, rexistraranse todos os datos.
-
Capturar contrasinais: captura os contrasinais introducidos. Os datos escríbense na base de datos GoPhish sen cifrar, tal e como están.
Ademais, podemos usar a opción "Redirixir a", que redirixirá o usuario a unha páxina especificada despois de introducir as credenciais. Permíteme recordarche que establecemos un escenario no que se lle solicita ao usuario que cambie o contrasinal do correo electrónico corporativo. Para iso, ofréceselle unha páxina de portal de autorización de correo falso, despois da cal o usuario pode ser enviado a calquera recurso dispoñible da empresa.
Non esquezas gardar a páxina completada e ir á sección "Nova campaña".
Lanzamento da pesca GoPhish
Facilitamos toda a información necesaria. Na pestana "Nova campaña", crea unha nova campaña.
Lanzamento da campaña
En que:
nome
Nome da campaña
Modelo de correo electrónico
Modelo de mensaxe
Landing Page
Páxina de phishing
URL
IP do teu servidor GoPhish (debe ter accesibilidade á rede co host da vítima)
Data de lanzamento
Data de inicio da campaña
Enviar correos electrónicos por
Data de finalización da campaña (envío distribuído uniformemente)
Enviando perfil
Perfil do remitente
grupos
Grupo de destinatarios de correo
Despois do inicio, sempre podemos familiarizarnos coas estatísticas, que indican: mensaxes enviadas, mensaxes abertas, clics en ligazóns, datos deixados transferidos a spam.
Das estatísticas vemos que se enviou 1 mensaxe, comprobemos o correo desde o lado do destinatario:
De feito, a vítima recibiu con éxito un correo electrónico de phishing pedíndolle que siga unha ligazón para cambiar o contrasinal da súa conta corporativa. Realizamos as accións solicitadas, enviámonos ás Landing Pages, e as estatísticas?
Como resultado, o noso usuario fixo clic nunha ligazón de phishing, onde podería deixar a información da súa conta.
Nota do autor: o proceso de entrada de datos non se rexistrou debido ao uso dun esquema de proba, pero existe tal opción. Non obstante, o contido non está cifrado e gárdase na base de datos de GoPhish, téñao en conta.
En vez de unha conclusión
Hoxe tocamos o tema actual de realizar formación automatizada para os empregados para protexelos dos ataques de phishing e desenvolver neles a alfabetización informática. Gophish implantouse como unha solución asequible, que mostrou bos resultados en termos de tempo de implantación e resultado. Con esta ferramenta accesible, pode auditar os seus empregados e xerar informes sobre o seu comportamento. Se estás interesado neste produto, ofrecémosche axuda para implementalo e auditar aos teus empregados ([protexido por correo electrónico]).
Non obstante, non nos imos parar a revisar unha solución e pensamos continuar o ciclo, onde falaremos de solucións Enterprise para automatizar o proceso de formación e supervisar a seguridade dos empregados. Quédese connosco e estade atentos!
Fonte: www.habr.com