ProHoster > Blog > Adminisztráció > 1. A felhasználók oktatása az információbiztonság alapjairól. Harc az adathalászat ellen
1. A felhasználók oktatása az információbiztonság alapjairól. Harc az adathalászat ellen
Napjainkban egy hálózati rendszergazda vagy egy információbiztonsági mérnök sok időt és energiát fordít arra, hogy megvédje a vállalati hálózat kerületét a különféle fenyegetésektől, új rendszereket sajátít el az események megelőzésére és megfigyelésére, de még ez sem garantálja számára a teljes biztonságot. A közösségi manipulációt a támadók aktívan használják, és ennek súlyos következményei lehetnek.
Milyen gyakran kapta magát azon a gondolaton: „Jó lenne ellenőrizni az alkalmazottak információbiztonsági műveltségét”? Sajnos a gondolatok félreértések falába ütköznek a sok feladat vagy a korlátozott munkaidő formájában. Terveink szerint a személyi képzés automatizálása terén a modern termékekről és technológiákról mesélünk, amelyek nem igényelnek hosszas felkészülést a pilotáláshoz vagy a megvalósításhoz, de mindenekelőtt.
Elméleti alapozás
Napjainkban a rosszindulatú fájlok több mint 80%-át levélben terjesztik (az adatok a Check Point szakértőinek az elmúlt év során, az Intelligence Reports szolgáltatással készített jelentéseiből származnak).
Rosszindulatú fájltámadás vektor jelentés (Oroszország) – Check Point
Ez arra utal, hogy az e-mail üzenetek tartalma eléggé sebezhető ahhoz, hogy a támadók kihasználják. Ha figyelembe vesszük a mellékletekben a legnépszerűbb rosszindulatú fájlformátumokat (EXE, RTF, DOC), akkor érdemes megjegyezni, hogy ezek általában tartalmaznak automatikus kódvégrehajtási elemeket (scriptek, makrók).
Éves jelentés a beérkezett rosszindulatú üzenetek fájlformátumairól – Check Point
Hogyan kezeljük ezt a támadási vektort? A levelek ellenőrzése biztonsági eszközökkel történik:
antivirus — A fenyegetések aláírás-észlelése.
Emuláció - homokozó, amellyel a mellékleteket elszigetelt környezetben nyitják meg.
Tartalomtudatosság — aktív elemek kinyerése a dokumentumokból. A felhasználó megtisztított dokumentumot kap (általában PDF formátumban).
Levél szűrő - a címzett / küldő domainjének hírneve ellenőrzése.
És elméletben ez elég, de van egy másik, ugyanolyan értékes erőforrás a vállalat számára - az alkalmazottak vállalati és személyes adatai. Az elmúlt években a következő típusú internetes csalások népszerűsége aktívan nőtt:
adathalászat (angol adathalászat, horgászatból - horgászat, horgászat) - az internetes csalás egy fajtája. Célja a felhasználói azonosító adatok beszerzése. Ide tartozik a jelszavak, hitelkártyaszámok, bankszámlák és egyéb érzékeny adatok ellopása.
A támadók tökéletesítik az adathalász támadásokat, átirányítják a DNS-kérelmeket a népszerű webhelyekről, és teljes kampányokat telepítenek közösségi manipuláció segítségével e-mailek küldésére.
Így a vállalati e-mailek adathalászat elleni védelme érdekében két megközelítést javasolunk, és ezek együttes használata a legjobb eredményhez vezet:
Műszaki védelmi eszközök. Mint korábban említettük, különféle technológiákat használnak csak a legális levelek ellenőrzésére és továbbítására.
A személyzet elméleti képzése. Ez a személyzet átfogó teszteléséből áll a potenciális áldozatok azonosítása érdekében. Továbbá átképzik őket, folyamatosan rögzítik a statisztikákat.
Ne bízzon és ne ellenőrizze
Ma az adathalász támadások megelőzésének második megközelítéséről fogunk beszélni, nevezetesen a személyzet automatizált képzéséről a vállalati és személyes adatok általános biztonsági szintjének növelése érdekében. Miért lehet olyan veszélyes?
szociális tervezés - emberek pszichológiai manipulálása bizonyos műveletek végrehajtása vagy bizalmas információk felfedése érdekében (az információbiztonsággal kapcsolatban).
Egy tipikus adathalász támadás telepítési forgatókönyvének diagramja
Vessünk egy pillantást egy szórakoztató folyamatábrára, amely röviden bemutatja az adathalász kampány népszerűsítését. Különböző szakaszai vannak:
Elsődleges adatok gyűjtése.
A 21. században nehéz olyan személyt találni, aki nincs regisztrálva semmilyen közösségi hálózaton vagy különféle tematikus fórumokon. Természetesen sokan részletes információkat hagyunk magunkról: jelenlegi munkahelyünk, kollégák csoportja, telefon, posta stb. Ha ehhez hozzáadja a személyre szabott információkat egy adott személy érdeklődési köréről, akkor már rendelkezik adathalászsablon létrehozásához szükséges adatokkal. Ha nem is lehetett ilyen információval rendelkezőket találni, mindig van egy céges weboldal, ahonnan minden minket érdeklő információ megtalálható (domain levelezés, elérhetőségek, kapcsolatok).
Kampány indítása.
Miután a lábát felállította, elindíthatja saját célzott adathalász kampányát ingyenes vagy fizetős eszközök használatával. A levelezőlista során statisztikákat halmoz fel: kézbesített levelek, nyitott levelek, linkekre kattintás, hitelesítő adatok megadása stb.
Termékek a piacon
Az adathalászatot a kiberbűnözők és a vállalat információbiztonsági munkatársai egyaránt használhatják az alkalmazottak viselkedésének folyamatos ellenőrzésére. Mit kínál nekünk a piac ingyenes és kereskedelmi megoldásokért a vállalati alkalmazottak automatizált képzési rendszeréhez:
GoPhish egy nyílt forráskódú projekt, amely lehetővé teszi egy adathalász cég telepítését alkalmazottai informatikai jártasságának ellenőrzése érdekében. Az előnyök közé tartozik az egyszerű üzembe helyezés és a minimális rendszerkövetelmények. Hátránya a kész levelezősablonok hiánya, a tesztek és a személyzet számára készült képzési anyagok hiánya.
KnowBe4 — egy platform nagyszámú rendelkezésre álló termékkel a személyzet tesztelésére.
Phishman — automatizált rendszer az alkalmazottak tesztelésére és képzésére. Különféle termékverziókkal rendelkezik, amelyek 10-től több mint 1000 alkalmazottig terjednek. A tréningek elméleti és gyakorlati feladatokat tartalmaznak, az adathalász kampány után kapott statisztikák alapján lehetőség nyílik igények azonosítására. A megoldás kereskedelmi jellegű, próbahasználati lehetőséggel.
Antiphishing — automatizált képzési és biztonsági ellenőrzési rendszer. A kereskedelmi termékek időszakos hamis támadásokat, alkalmazottak képzését stb. A termék demo verziójaként egy kampányt kínálnak, amely sablonok telepítését és három képzési támadás végrehajtását foglalja magában.
A fenti megoldások csak egy részét képezik az automatizált személyzeti képzés piacán elérhető termékeknek. Természetesen mindegyiknek megvannak a maga előnyei és hátrányai. Ma megismerjük GoPhish, szimuláljon adathalász támadást, fedezze fel a rendelkezésre álló lehetőségeket.
GoPhish
Szóval itt az ideje a gyakorlásnak. A GoPhish nem véletlenül esett a választásra: egy felhasználóbarát eszköz a következő funkciókkal:
Egyszerűsített telepítés és indítás.
REST API támogatás. Lehetővé teszi kérések generálását a következőtől dokumentáció és alkalmazza az automatizált szkripteket.
Kényelmes grafikus felhasználói felület.
Cross-platform.
A fejlesztőcsapat kiválóan készült Hyde a GoPhish telepítéséről és konfigurálásáról. Valójában csak oda kell menni adattár, töltse le a megfelelő operációs rendszer ZIP-archívumát, futtassa a belső bináris fájlt, amely után az eszköz telepítése megtörténik.
FONTOS JEGYZET!
Ennek eredményeként információkat kell kapnia a terminálban telepített portálról, valamint az engedélyezéshez szükséges adatokat (a 0.10.1-nél régebbi verziókra vonatkozik). Ne felejtse el menteni jelszavát!
msg="Please login with the username admin and the password <ПАРОЛЬ>"
A GoPhish beállításának megértése
A telepítés után egy konfigurációs fájl (config.json) jön létre az alkalmazáskönyvtárban. Leírjuk a változtatás paramétereit:
kulcs
Érték (alapértelmezett)
Leírás
admin_server.listen_url
127.0.0.1:3333
GoPhish szerver IP-címe
admin_server.use_tls
hamis
A TLS-t használják a GoPhish szerverhez való csatlakozáshoz
admin_server.cert_path
példa.crt
A GoPhish Admin Portal SSL-tanúsítványának elérési útja
admin_server.key_path
példa.kulcs
A privát SSL-kulcs elérési útja
phish_server.listen_url
0.0.0.0:80
IP-címet és portot tartalmazó adathalász oldal (a GoPhish szerveren alapértelmezés szerint a 80-as porton)
—> Lépjen a menedzsment portálra. A mi esetünkben: https://127.0.0.1:3333
-> A rendszer felszólítja, hogy módosítsa a kellően hosszú jelszót egy egyszerűbbre, vagy fordítva.
Feladói profil létrehozása
Lépjen a "Küldési profilok" fülre, és adja meg a felhasználó adatait, akitől a leveleinket küldjük:
Hol:
Név
Küldő neve
Tól től
A feladó levele
Házigazda
Annak a levelezőszervernek az IP-címe, amelyről a rendszer meghallgatja a bejövő leveleket.
Felhasználónév
Levelezőszerver felhasználói fiók bejelentkezés.
Jelszó
A levelezőszerver felhasználói fiók jelszava.
A kézbesítés sikerességéről tesztüzenetet is küldhet. Mentse el a beállításokat a "Profil mentése" gombbal.
Hozzon létre egy célcsoportot
Ezután hozzon létre egy csoportot a „boldogságlevelek” címzettjeinek. Lépjen a „Felhasználó és csoportok” → „Új csoport” menüpontra. Kétféleképpen adhat hozzá: manuálisan vagy CSV-fájl importálásával.
A második módszer megköveteli a kötelező mezők jelenlétét:
Miután azonosítottuk a képzeletbeli támadót és a lehetséges áldozatokat, létre kell hoznunk egy üzenetsablont. Ehhez lépjen az „E-mail sablonok” → „Új sablonok” szakaszba.
A sablon kialakításakor technikai és kreatív megközelítést alkalmaznak, meg kell adnia a szolgáltatás üzenetét, amely ismerős lesz az áldozat felhasználók számára, vagy bizonyos reakciót vált ki bennük. Lehetséges opciók:
Név
Sablonnév
Tárgy
Levél tárgya
Szöveg/HTML
Szöveg vagy HTML kód bevitelére szolgáló mező
A Gophish támogatja az e-mailek importálását, de mi létrehozzuk a sajátunkat. Ehhez szimulálunk egy forgatókönyvet: egy vállalati felhasználó kap egy levelet a jelszó megváltoztatására vonatkozó javaslattal a vállalati leveléből. Ezután elemezzük a reakcióját, és megnézzük a „fogásunkat”.
A sablonban beépített változókat fogunk használni. További részletek a fentiekben találhatók útmutató szakasz Referencia sablon.
Először töltsük be a következő szöveget:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
Ennek megfelelően a felhasználónév automatikusan behelyettesítésre kerül (az előzőleg beállított „Új csoport” tétel szerint), és megjelenik a postacíme.
Ezután meg kell adnunk egy linket az adathalász erőforrásunkhoz. Ehhez válassza ki az „itt” szót a szövegben, és válassza ki a „Link” opciót a vezérlőpulton.
URL-ként a beépített {{.URL}} változót adjuk meg, amelyet később töltünk ki. Ez automatikusan beágyazódik az adathalász e-mail törzsébe.
A sablon mentése előtt ne felejtse el engedélyezni a „Követőkép hozzáadása” opciót. Ez hozzáad egy 1x1 pixeles médiaelemet, amely nyomon követi, amikor a felhasználó megnyitotta az e-mailt.
Tehát már nincs sok hátra, de először összefoglaljuk a szükséges lépéseket a Gophish portálon történő engedélyezés után:
Hozzon létre egy feladó profilt;
Hozzon létre egy terjesztési csoportot, ahol megadhatja a felhasználókat;
Hozzon létre egy adathalász e-mail sablont.
Egyetértek, a beállítás nem vett igénybe sok időt, és már majdnem készen állunk a kampány elindítására. Már csak egy adathalász oldalt kell hozzáadni.
Adathalász oldal létrehozása
Lépjen a „Céloldalak” fülre.
A rendszer kérni fogja az objektum nevének megadását. Lehetőség van a forrásoldal importálására. Példánkban megpróbáltam egy működő levelezőszerver webportált megadni. Ennek megfelelően HTML kódként importálták (bár nem teljesen). A következő érdekes lehetőségek a felhasználói bevitel rögzítésére:
Elküldött adatok rögzítése. Ha a megadott webhelyoldal különböző beviteli űrlapokat tartalmaz, akkor minden adat rögzítésre kerül.
Jelszavak rögzítése – beírt jelszavak rögzítése. Az adatok titkosítás nélkül íródnak a GoPhish adatbázisba, ahogy vannak.
Ezenkívül használhatjuk az „Átirányítás” opciót, amely a hitelesítő adatok megadása után a megadott oldalra irányítja át a felhasználót. Hadd emlékeztessem Önt arra, hogy beállítottunk egy forgatókönyvet, amikor a felhasználót a vállalati levelezés jelszavának megváltoztatására kérik. Ehhez felajánlják neki a levelező-engedélyezési portál hamis oldalát, amely után a felhasználó bármely elérhető vállalati erőforráshoz elküldhető.
Ne felejtse el menteni az elkészült oldalt, és lépjen az „Új kampány” részre.
A GoPhish horgászat elindítása
Minden szükséges információt megadtunk. Az „Új kampány” lapon hozzon létre egy új kampányt.
Kampány indítása
Hol:
Név
kampány név
E-mail sablon
Üzenet sablon
Landing oldal
Adathalász oldal
URL
GoPhish szerverének IP-címe (hálózati elérhetőséggel kell rendelkeznie az áldozat gazdagépével)
Indítás dátuma
A kampány kezdő dátuma
E-mail küldése:
Kampány befejezési dátuma (a postázás egyenletesen oszlik el)
Profil küldése
Feladó profilja
Csoportok
Levelezési címzett csoport
Az indulás után mindig megismerkedhetünk a statisztikákkal, amelyek a következőket jelzik: elküldött üzenetek, megnyitott üzenetek, linkekre kattintások, adatok elhagyása, átvitel spambe.
A statisztikákból azt látjuk, hogy 1 üzenetet küldtek, nézzük meg a levelet a címzett oldaláról:
Valójában az áldozat sikeresen kapott egy adathalász e-mailt, amelyben arra kérték, hogy kövessék a linket a vállalati fiók jelszavának megváltoztatásához. Elvégezzük a kért műveleteket, a Céloldalak oldalra kerülünk, mi a helyzet a statisztikákkal?
Ennek eredményeként felhasználónk egy adathalász linket követett, ahol potenciálisan elhagyhatta fiókadatait.
A szerző megjegyzése: az adatbeviteli folyamat a tesztelrendezés alkalmazása miatt nem lett rögzítve, de van ilyen lehetőség. Ugyanakkor a tartalom nincs titkosítva, és a GoPhish adatbázisban tárolódik, kérjük, vegye figyelembe.
Ahelyett, hogy egy következtetés
A mai napon az adathalász támadások elleni védelem és az informatikai ismeretek oktatása érdekében az alkalmazottak automatizált képzésének aktuális kérdését érintettük. Megfizethető megoldásként a Gophish-t telepítették, amely jól teljesített az eredményig tartó telepítési idő tekintetében. Ezzel a megfizethető eszközzel ellenőrizheti alkalmazottait, és jelentéseket készíthet viselkedésükről. Ha felkeltette érdeklődését ez a termék, segítséget nyújtunk az üzembe helyezésében és az alkalmazottak auditálásában ([e-mail védett]).
Nem állunk meg azonban egy megoldás áttekintésénél, és a ciklus folytatását tervezzük, ahol a tanulási folyamat automatizálására és az alkalmazottak biztonságának felügyeletére szolgáló vállalati megoldásokról lesz szó. Tarts velünk és légy éber!