Danas mrežni administrator ili inženjer informacijske sigurnosti ulaže puno vremena i truda u zaštitu perimetra poslovne mreže od raznih prijetnji, savladavanje novih sustava za prevenciju i praćenje događaja, ali ni to ne jamči potpunu sigurnost. Napadači aktivno koriste društveni inženjering i može imati ozbiljne posljedice.
Koliko ste se često uhvatili kako razmišljate: "Bilo bi lijepo organizirati testiranje za osoblje o pismenosti informacijske sigurnosti"? Nažalost, misli nailaze na zid nerazumijevanja u obliku velikog broja zadataka ili ograničenog vremena u radnom danu. Planiramo vam govoriti o suvremenim proizvodima i tehnologijama u području automatizacije obuke osoblja, koji neće zahtijevati dugotrajnu obuku za pilotiranje ili implementaciju, već o svemu po redu.
Teorijska osnova
Danas se više od 80% zlonamjernih datoteka distribuira putem e-pošte (podaci preuzeti iz izvješća stručnjaka Check Pointa tijekom prošle godine korištenjem usluge Intelligence Reports).
Izvješće za zadnjih 30 dana o vektoru napada za distribuciju zlonamjernih datoteka (Rusija) - Check Point
Ovo sugerira da je sadržaj u porukama e-pošte vrlo osjetljiv na iskorištavanje od strane napadača. Ako uzmemo u obzir najpopularnije zlonamjerne formate datoteka u privicima (EXE, RTF, DOC), vrijedi napomenuti da oni u pravilu sadrže automatske elemente izvršavanja koda (skripte, makronaredbe).
Godišnje izvješće o formatima datoteka u primljenim zlonamjernim porukama - Check Point
Kako se nositi s ovim vektorom napada? Provjera pošte uključuje korištenje sigurnosnih alata:
-
antivirusni — otkrivanje potpisa prijetnji.
-
Imitacija - sandbox s kojim se prilozi otvaraju u izoliranom okruženju.
-
Svijest o sadržaju — izdvajanje aktivnih elemenata iz dokumenata. Korisnik dobiva očišćeni dokument (najčešće u PDF formatu).
-
Protiv neželjene pošte — provjera reputacije domene primatelja/pošiljatelja.
I, u teoriji, to je dovoljno, ali postoji još jedan jednako vrijedan resurs za tvrtku - korporativni i osobni podaci zaposlenika. Posljednjih godina aktivno raste popularnost sljedeće vrste internetskih prijevara:
Krađa identiteta (engleski phishing, od ribolova - ribolov, ribolov) - vrsta internetske prijevare. Svrha mu je dobivanje podataka o identifikaciji korisnika. To uključuje krađu lozinki, brojeva kreditnih kartica, bankovnih računa i drugih osjetljivih podataka.
Napadači poboljšavaju metode phishing napada, preusmjeravaju DNS zahtjeve s popularnih stranica i pokreću čitave kampanje koristeći društveni inženjering za slanje e-pošte.
Dakle, da biste zaštitili svoju poslovnu e-poštu od krađe identiteta, preporuča se koristiti dva pristupa, a njihova kombinirana uporaba dovodi do najboljih rezultata:
-
Sredstva tehničke zaštite. Kao što je ranije spomenuto, različite tehnologije koriste se za provjeru i prosljeđivanje samo legitimne pošte.
-
Teorijska obuka osoblja. Sastoji se od opsežnog testiranja osoblja kako bi se identificirale potencijalne žrtve. Zatim se prekvalificiraju i stalno se bilježi statistika.
Ne vjeruj i provjeri
Danas ćemo govoriti o drugom pristupu sprječavanja phishing napada, odnosno automatiziranoj obuci osoblja kako bi se povećala ukupna razina sigurnosti korporativnih i osobnih podataka. Zašto bi ovo moglo biti tako opasno?
socijalni inženjering — psihološka manipulacija ljudima kako bi se izvršile određene radnje ili otkrile povjerljive informacije (u vezi s informacijskom sigurnošću).
Dijagram tipičnog scenarija implementacije phishing napada
Pogledajmo zabavni dijagram toka koji ukratko opisuje putovanje phishing kampanje. Ima različite faze:
-
Prikupljanje primarnih podataka.
U 21. stoljeću teško je pronaći osobu koja nije registrirana ni na jednoj društvenoj mreži ili na raznim tematskim forumima. Naravno, mnogi od nas ostavljaju detaljne podatke o sebi: mjesto trenutnog rada, grupa za kolege, telefon, mail itd. Dodajte ovome personalizirane informacije o interesima osobe i imat ćete podatke za izradu predloška za krađu identiteta. Čak i ako nismo mogli pronaći ljude s takvim informacijama, uvijek postoji web stranica tvrtke na kojoj možemo pronaći sve informacije koje nas zanimaju (e-mail domene, kontakti, veze).
-
Pokretanje kampanje.
Nakon što postavite odskočnu dasku, možete koristiti besplatne ili plaćene alate za pokretanje vlastite ciljane phishing kampanje. Tijekom procesa slanja akumulirati ćete statistiku: isporučena pošta, otvorena pošta, kliknuti na poveznice, unesene vjerodajnice itd.
Proizvodi na tržištu
Phishing mogu koristiti i napadači i zaposlenici informacijske sigurnosti tvrtke kako bi proveli stalnu reviziju ponašanja zaposlenika. Što nam nudi tržište besplatnih i komercijalnih rješenja za automatizirani sustav obuke zaposlenika poduzeća:
-
je projekt otvorenog koda koji vam omogućuje implementaciju phishing kampanje za provjeru informatičke pismenosti vaših zaposlenika. Prednosti bih smatrao jednostavnošću implementacije i minimalnim sistemskim zahtjevima. Nedostaci su nedostatak gotovih predložaka za slanje pošte, nedostatak testova i materijala za obuku osoblja.
-
— mjesto s velikim brojem dostupnih proizvoda za testiranje osoblja.
-
— automatizirani sustav za testiranje i obuku zaposlenika. Ima različite verzije proizvoda koji podržavaju od 10 do više od 1000 zaposlenika. Tečajevi obuke uključuju teoriju i praktične zadatke, moguće je identificirati potrebe na temelju statistike dobivene nakon phishing kampanje. Rješenje je komercijalno s mogućnošću probnog korištenja.
-
— automatizirani sustav obuke i sigurnosnog nadzora. Komercijalni proizvod nudi periodične napade na obuku, obuku zaposlenika itd. Kampanja se nudi kao demo verzija proizvoda, koja uključuje implementaciju predložaka i provođenje tri napada za obuku.
Navedena rješenja samo su dio dostupnih proizvoda na tržištu automatizirane obuke osoblja. Naravno, svaki ima svoje prednosti i nedostatke. Danas ćemo se upoznati s , simulirajte phishing napad i istražite dostupne opcije.
GoPhish
Dakle, vrijeme je za vježbu. GoPhish nije odabran slučajno: to je alat jednostavan za korištenje sa sljedećim značajkama:
-
Pojednostavljena instalacija i pokretanje.
-
Podrška za REST API. Omogućuje vam stvaranje upita iz i primijeniti automatizirane skripte.
-
Zgodno grafičko sučelje za upravljanje.
-
Više platforma.
Razvojni tim pripremio je odličan o implementaciji i konfiguraciji GoPhish-a. Zapravo, sve što trebate učiniti je otići na , preuzmite ZIP arhivu za odgovarajući OS, pokrenite internu binarnu datoteku, nakon čega će se alat instalirati.
VAŽNA NOTA!
Kao rezultat toga, u terminalu biste trebali primiti informacije o implementiranom portalu, kao i podatke o autorizaciji (relevantno za verzije starije od verzije 0.10.1). Ne zaboravite osigurati lozinku za sebe!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Razumijevanje GoPhish postavke
Nakon instalacije, konfiguracijska datoteka (config.json) bit će stvorena u direktoriju aplikacije. Opišimo parametre za njegovu promjenu:
ključ
Vrijednost (zadano)
Opis
admin_server.listen_url
127.0.0.1:3333
IP adresa GoPhish poslužitelja
admin_server.use_tls
lažan
Koristi li se TLS za povezivanje s GoPhish poslužiteljem
admin_server.cert_path
primjer.crt
Put do SSL certifikata za GoPhish administrativni portal
admin_server.key_path
primjer.ključ
Put do privatnog SSL ključa
phish_server.listen_url
0.0.0.0:80
IP adresa i port na kojem se nalazi stranica za krađu identiteta (prema zadanim postavkama nalazi se na samom GoPhish poslužitelju na portu 80)
—> Idite na portal za upravljanje. U našem slučaju: https://127.0.0.1:3333
—> Od vas će se tražiti da promijenite prilično dugačku lozinku u jednostavniju ili obrnuto.
Izrada profila pošiljatelja
Idite na karticu "Profili slanja" i navedite podatke o korisniku od kojeg će potjecati naša pošta:
Gdje:
Ime i Prezime
Ime pošiljatelja
Od
E-pošta pošiljatelja
Nalog Domaćina,
IP adresa poslužitelja pošte s kojeg će se preslušavati dolazna pošta.
Korisničko ime
Prijava korisničkog računa poslužitelja pošte.
Lozinka
Lozinka korisničkog računa poslužitelja pošte.
Također možete poslati probnu poruku kako biste osigurali uspjeh isporuke. Spremite postavke pomoću gumba "Spremi profil".
Stvaranje grupe primatelja
Zatim biste trebali formirati grupu primatelja "lančanih pisama". Idite na “Korisnik i grupe” → “Nova grupa”. Postoje dva načina dodavanja: ručno ili uvozom CSV datoteke.
Druga metoda zahtijeva sljedeća obavezna polja:
-
Ime
-
Prezime
-
E-mail
-
Položaj
Kao primjer:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Izrada predloška e-pošte za krađu identiteta
Nakon što smo identificirali imaginarnog napadača i potencijalne žrtve, potrebno je izraditi predložak s porukom. Da biste to učinili, idite na odjeljak “Predlošci e-pošte” → “Novi predlošci”.
Pri formiranju predloška koristi se tehnički i kreativni pristup, potrebno je navesti poruku servisa koja će biti poznata korisnicima žrtve ili će kod njih izazvati određenu reakciju. Moguće opcije:
Ime i Prezime
Naziv predloška
Predmet
Predmet pisma
Tekst/HTML
Polje za unos teksta ili HTML koda
Gophish podržava uvoz slova, ali mi ćemo stvoriti vlastita. Da bismo to učinili, simuliramo scenarij: korisnik tvrtke prima pismo u kojem se od njega traži da promijeni lozinku iz svoje poslovne e-pošte. Zatim, analizirajmo njegovu reakciju i pogledajmo naš "ulov".
U predlošku ćemo koristiti ugrađene varijable. Više detalja možete pronaći u gornjem odjeljak .
Prvo učitajmo sljedeći tekst:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamSukladno tome, automatski će se unijeti ime korisnika (prema prethodno navedenoj stavci "Nova grupa") i njegova poštanska adresa bit će navedena.
Zatim bismo trebali dati vezu na naš resurs za krađu identiteta. Da biste to učinili, označite riječ "ovdje" u tekstu i odaberite opciju "Veza" na upravljačkoj ploči.
Postavit ćemo URL na ugrađenu varijablu {{.URL}}, koju ćemo ispuniti kasnije. Automatski će se ugraditi u tekst phishing e-pošte.
Prije spremanja predloška ne zaboravite omogućiti opciju "Dodaj sliku za praćenje". To će dodati medijski element veličine 1x1 piksela koji će pratiti je li korisnik otvorio e-poštu.
Dakle, nije ostalo puno, ali prvo ćemo sažeti potrebne korake nakon prijave na Gophish portal:
-
Napravite profil pošiljatelja;
-
Napravite distribucijsku grupu u kojoj navedete korisnike;
-
Stvorite predložak e-pošte za krađu identiteta.
Slažem se, postavljanje nije oduzelo puno vremena i skoro smo spremni za pokretanje naše kampanje. Sve što preostaje je dodati stranicu za krađu identiteta.
Izrada phishing stranice
Idite na karticu "Odredišne stranice".
Od nas će se tražiti da odredimo naziv objekta. Moguće je uvesti izvornu stranicu. U našem primjeru pokušao sam navesti radni web portal poslužitelja e-pošte. Sukladno tome, uvezen je kao HTML kod (iako ne u potpunosti). Sljedeće su zanimljive opcije za bilježenje korisničkog unosa:
-
Snimanje dostavljenih podataka. Ako navedena stranica web-mjesta sadrži različite obrasce za unos, tada će svi podaci biti zabilježeni.
-
Capture Passwords - snimanje unesenih lozinki. Podaci se zapisuju u GoPhish bazu podataka bez šifriranja, kakvi jesu.
Dodatno, možemo koristiti opciju “Preusmjeri na” koja će preusmjeriti korisnika na određenu stranicu nakon unosa vjerodajnica. Dopustite da vas podsjetim da smo postavili scenarij u kojem se od korisnika traži da promijeni lozinku za korporativnu e-poštu. Da bi to učinio, nudi mu se stranica portala za autorizaciju lažne pošte, nakon čega se korisnik može poslati na bilo koji dostupni resurs tvrtke.
Ne zaboravite spremiti dovršenu stranicu i otići na odjeljak "Nova kampanja".
Pokretanje GoPhish ribolova
Dali smo sve potrebne informacije. Na kartici "Nova kampanja" izradite novu kampanju.
Pokretanje kampanje
Gdje:
Ime i Prezime
Naziv kampanje
Predložak e-pošte
Predložak poruke
Landing Page
Stranica za krađu identiteta
URL
IP vašeg GoPhish poslužitelja (mora imati mrežnu dostupnost s hostom žrtve)
Datum lansiranja
Datum početka kampanje
Pošaljite e-poštu putem
Datum završetka kampanje (pošta je ravnomjerno raspoređena)
Slanje profila
Profil pošiljatelja
Klanovi
Grupa primatelja pošte
Nakon pokretanja uvijek se možemo upoznati sa statistikom koja pokazuje: poslane poruke, otvorene poruke, klikove na poveznice, ostavljene podatke prebačene u spam.
Iz statistike vidimo da je poslana 1 poruka, provjerimo poštu sa strane primatelja:
Doista, žrtva je uspješno primila phishing e-poruku u kojoj se od nje traži da slijedi vezu za promjenu lozinke za svoj poslovni račun. Provodimo tražene radnje, šaljemo se na odredišne stranice, što je sa statistikom?
Kao rezultat toga, naš je korisnik kliknuo na poveznicu za krađu identiteta, gdje bi potencijalno mogao ostaviti podatke o svom računu.
Autorova bilješka: proces unosa podataka nije snimljen zbog korištenja testnog izgleda, ali takva opcija postoji. Međutim, sadržaj nije šifriran i pohranjen je u GoPhish bazi podataka, imajte to na umu.
Umjesto zaključka
Danas smo se dotakli aktualne teme provođenja automatizirane edukacije zaposlenika kako bismo ih zaštitili od phishing napada i kod njih razvili informatičku pismenost. Gophish je implementiran kao pristupačno rješenje, koje je pokazalo dobre rezultate u pogledu vremena implementacije i rezultata. Pomoću ovog pristupačnog alata možete nadzirati svoje zaposlenike i generirati izvješća o njihovom ponašanju. Ako ste zainteresirani za ovaj proizvod, nudimo pomoć u njegovoj implementaciji i reviziji vaših zaposlenika ([e-pošta zaštićena]).
No, nećemo stati na pregledu jednog rješenja i planiramo nastavak ciklusa, gdje ćemo govoriti o Enterprise rješenjima za automatizaciju procesa obuke i praćenje sigurnosti zaposlenika. Ostanite s nama i budite oprezni!
Izvor: www.habr.com