Saat ini, administrator jaringan atau insinyur keamanan informasi menghabiskan banyak waktu dan upaya untuk melindungi perimeter jaringan perusahaan dari berbagai ancaman, menguasai sistem baru untuk mencegah dan memantau kejadian, tetapi ini pun tidak menjamin keamanan yang lengkap. Rekayasa sosial digunakan secara aktif oleh penyerang dan dapat menimbulkan konsekuensi serius.
Seberapa sering Anda mendapati diri Anda berpikir: “Alangkah baiknya jika diadakan tes bagi staf mengenai literasi keamanan informasi”? Sayangnya, pemikiran tersebut menemui tembok kesalahpahaman berupa banyaknya tugas atau terbatasnya waktu dalam hari kerja. Kami berencana untuk memberi tahu Anda tentang produk dan teknologi modern di bidang otomatisasi pelatihan personel, yang tidak memerlukan pelatihan panjang untuk uji coba atau implementasi, tetapi hal pertama yang pertama.
Dasar teori
Saat ini, lebih dari 80% file berbahaya didistribusikan melalui email (data diambil dari laporan spesialis Check Point selama setahun terakhir menggunakan layanan Laporan Intelijen).
Laporkan selama 30 hari terakhir tentang vektor serangan untuk distribusi file berbahaya (Rusia) - Check Point
Hal ini menunjukkan bahwa konten dalam pesan email cukup rentan terhadap eksploitasi oleh penyerang. Jika kita mempertimbangkan format file berbahaya paling populer dalam lampiran (EXE, RTF, DOC), perlu dicatat bahwa format tersebut, biasanya, berisi elemen eksekusi kode otomatis (skrip, makro).
Laporan tahunan tentang format file dalam pesan berbahaya yang diterima - Check Point
Bagaimana cara mengatasi vektor serangan ini? Memeriksa email melibatkan penggunaan alat keamanan:
-
antivirus — deteksi ancaman secara tanda tangan.
-
Pertandingan - kotak pasir yang membuka lampiran di lingkungan yang terisolasi.
-
Kesadaran Konten — mengekstraksi elemen aktif dari dokumen. Pengguna menerima dokumen yang sudah dibersihkan (biasanya dalam format PDF).
-
AntiSpam — memeriksa reputasi domain penerima/pengirim.
Dan, secara teori, ini sudah cukup, tetapi ada sumber daya lain yang sama berharganya bagi perusahaan - data perusahaan dan pribadi karyawan. Dalam beberapa tahun terakhir, popularitas jenis penipuan Internet berikut ini semakin meningkat:
Phishing (Phishing bahasa Inggris, dari memancing - memancing, memancing) - sejenis penipuan internet. Tujuannya adalah untuk mendapatkan data identifikasi pengguna. Ini termasuk pencurian kata sandi, nomor kartu kredit, rekening bank, dan informasi sensitif lainnya.
Penyerang meningkatkan metode serangan phishing, mengalihkan permintaan DNS dari situs populer, dan meluncurkan seluruh kampanye menggunakan rekayasa sosial untuk mengirim email.
Oleh karena itu, untuk melindungi email perusahaan Anda dari phishing, disarankan untuk menggunakan dua pendekatan, dan penggunaan gabungan keduanya akan memberikan hasil terbaik:
-
Alat perlindungan teknis. Seperti disebutkan sebelumnya, berbagai teknologi digunakan untuk memeriksa dan meneruskan email yang sah saja.
-
Pelatihan teoritis personel. Ini terdiri dari pengujian komprehensif terhadap personel untuk mengidentifikasi calon korban. Kemudian mereka dilatih ulang dan statistik terus dicatat.
Jangan percaya dan periksa
Hari ini kita akan membahas pendekatan kedua untuk mencegah serangan phishing, yaitu pelatihan personel otomatis untuk meningkatkan tingkat keamanan data perusahaan dan pribadi secara keseluruhan. Mengapa hal ini bisa sangat berbahaya?
оциальная енерия — manipulasi psikologis terhadap orang untuk melakukan tindakan tertentu atau mengungkapkan informasi rahasia (berkaitan dengan keamanan informasi).
Diagram skenario penyebaran serangan phishing yang umum
Mari kita lihat diagram alur menarik yang menguraikan secara singkat perjalanan kampanye phishing. Ini memiliki tahapan yang berbeda:
-
Pengumpulan data primer.
Di abad ke-21, sulit menemukan seseorang yang tidak terdaftar di jejaring sosial mana pun atau di berbagai forum tematik. Tentu saja, banyak dari kita meninggalkan informasi rinci tentang diri kita sendiri: tempat kerja saat ini, grup rekan kerja, telepon, surat, dll. Tambahkan informasi yang dipersonalisasi tentang minat seseorang dan Anda memiliki data untuk membentuk template phishing. Meskipun kami tidak dapat menemukan orang yang memiliki informasi seperti itu, selalu ada situs web perusahaan tempat kami dapat menemukan semua informasi yang kami minati (email domain, kontak, koneksi).
-
Peluncuran kampanye.
Setelah Anda memiliki batu loncatan, Anda dapat menggunakan alat gratis atau berbayar untuk meluncurkan kampanye phishing yang Anda targetkan. Selama proses pengiriman surat, Anda akan mengumpulkan statistik: surat terkirim, surat dibuka, tautan diklik, kredensial dimasukkan, dll.
Produk di pasar
Phishing dapat digunakan oleh penyerang dan karyawan keamanan informasi perusahaan untuk melakukan audit berkelanjutan terhadap perilaku karyawan. Apa yang ditawarkan pasar solusi gratis dan komersial untuk sistem pelatihan otomatis bagi karyawan perusahaan:
-
adalah proyek sumber terbuka yang memungkinkan Anda menerapkan kampanye phishing untuk memeriksa literasi TI karyawan Anda. Saya akan mempertimbangkan keuntungannya sebagai kemudahan penerapan dan persyaratan sistem yang minimal. Kerugiannya adalah kurangnya template surat yang siap pakai, kurangnya materi tes dan pelatihan untuk staf.
-
— situs dengan sejumlah besar produk yang tersedia untuk personel pengujian.
-
— sistem otomatis untuk pengujian dan pelatihan karyawan. Memiliki berbagai versi produk yang mendukung 10 hingga lebih dari 1000 karyawan. Kursus pelatihan mencakup teori dan tugas praktis; dimungkinkan untuk mengidentifikasi kebutuhan berdasarkan statistik yang diperoleh setelah kampanye phishing. Solusinya bersifat komersial dengan kemungkinan penggunaan percobaan.
-
— pelatihan otomatis dan sistem pemantauan keamanan. Produk komersial menawarkan serangan pelatihan berkala, pelatihan karyawan, dll. Sebuah kampanye ditawarkan sebagai versi demo produk, yang mencakup penerapan templat dan melakukan tiga serangan pelatihan.
Solusi di atas hanyalah sebagian dari produk yang tersedia di pasar pelatihan personel otomatis. Tentunya masing-masing mempunyai kelebihan dan kekurangan masing-masing. Hari ini kita akan berkenalan , simulasikan serangan phishing, dan jelajahi opsi yang tersedia.
GoPish
Jadi, inilah waktunya untuk berlatih. GoPhish tidak dipilih secara kebetulan: ini adalah alat yang mudah digunakan dengan fitur-fitur berikut:
-
Instalasi dan startup yang disederhanakan.
-
dukungan API REST. Memungkinkan Anda membuat kueri dari dan menerapkan skrip otomatis.
-
Antarmuka kontrol grafis yang nyaman.
-
Lintas platform.
Tim pengembangan telah menyiapkan yang terbaik tentang penerapan dan konfigurasi GoPhish. Faktanya, yang perlu Anda lakukan hanyalah pergi ke , unduh arsip ZIP untuk OS yang sesuai, jalankan file biner internal, setelah itu alat akan diinstal.
CATATAN PENTING!
Akibatnya, Anda akan menerima informasi terminal tentang portal yang digunakan, serta data otorisasi (relevan untuk versi yang lebih lama dari versi 0.10.1). Jangan lupa untuk mengamankan kata sandi untuk diri Anda sendiri!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Memahami pengaturan GoPhish
Setelah instalasi, file konfigurasi (config.json) akan dibuat di direktori aplikasi. Mari kita jelaskan parameter untuk mengubahnya:
Ключ
Nilai (standar)
Описание
admin_server.listen_url
127.0.0.1:3333
Alamat IP server GoPhish
admin_server.use_tls
palsu
Apakah TLS digunakan untuk terhubung ke server GoPhish
admin_server.cert_path
contoh.crt
Jalur ke sertifikat SSL untuk portal admin GoPhish
admin_server.key_path
contoh.kunci
Jalur ke kunci SSL pribadi
phish_server.listen_url
0.0.0.0:80
Alamat IP dan port tempat halaman phishing dihosting (secara default dihosting di server GoPhish itu sendiri pada port 80)
-> Buka portal manajemen. Dalam kasus kami: https://127.0.0.1:3333
—> Anda akan diminta untuk mengubah kata sandi yang cukup panjang menjadi lebih sederhana atau sebaliknya.
Membuat profil pengirim
Buka tab “Profil Pengiriman” dan berikan informasi tentang pengguna asal surat kami:
Dimana:
Nama
Nama pengirim
Dari
Email pengirim
tuan rumah
Alamat IP server email tempat email masuk akan didengarkan.
Nama Pengguna
Login akun pengguna server email.
Kata Sandi
Kata sandi akun pengguna server email.
Anda juga dapat mengirim pesan percobaan untuk memastikan keberhasilan pengiriman. Simpan pengaturan menggunakan tombol “Simpan profil”.
Membuat sekelompok penerima
Selanjutnya, Anda harus membentuk kelompok penerima “surat berantai”. Buka “Pengguna & Grup” → “Grup Baru”. Ada dua cara untuk menambahkan: secara manual atau mengimpor file CSV.
Metode kedua memerlukan bidang wajib berikut:
-
Nama Depan
-
Nama Belakang
-
Email
-
Posisi
Sebagai contoh:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Membuat Templat Email Phishing
Setelah kita mengidentifikasi penyerang imajiner dan calon korban, kita perlu membuat template dengan pesan. Untuk melakukan ini, buka bagian “Template Email” → “Template Baru”.
Saat membentuk templat, pendekatan teknis dan kreatif digunakan, pesan dari layanan harus ditentukan yang akan diketahui oleh pengguna korban atau akan menimbulkan reaksi tertentu pada mereka. Opsi yang memungkinkan:
Nama
Nama templat
Subjek
Subjek surat
Teks / HTML
Bidang untuk memasukkan teks atau kode HTML
Gophish mendukung impor surat, tapi kami akan membuatnya sendiri. Untuk melakukan ini, kami mensimulasikan sebuah skenario: pengguna perusahaan menerima surat yang memintanya untuk mengubah kata sandi dari email perusahaannya. Selanjutnya, mari kita menganalisis reaksinya dan melihat “tangkapan” kita.
Kami akan menggunakan variabel bawaan di template. Rincian lebih lanjut dapat ditemukan di atas bagian .
Pertama, mari kita muat teks berikut:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamOleh karena itu, nama pengguna akan dimasukkan secara otomatis (sesuai dengan item “Grup Baru” yang ditentukan sebelumnya) dan alamat posnya akan ditunjukkan.
Selanjutnya, kami harus memberikan tautan ke sumber phishing kami. Untuk melakukan ini, sorot kata “di sini” dalam teks dan pilih opsi “Tautan” pada panel kontrol.
Kita akan menyetel URL ke variabel bawaan {{.URL}}, yang akan kita isi nanti. Ini akan secara otomatis tertanam dalam teks email phishing.
Sebelum menyimpan template, jangan lupa untuk mengaktifkan opsi “Tambahkan Gambar Pelacakan”. Ini akan menambahkan elemen media 1x1 piksel yang akan melacak apakah pengguna telah membuka email.
Jadi, tidak banyak lagi yang tersisa, tapi pertama-tama kami akan merangkum langkah-langkah yang diperlukan setelah masuk ke portal Gophish:
-
Buat profil pengirim;
-
Buat grup distribusi tempat Anda menentukan pengguna;
-
Buat templat email phishing.
Setuju, penyiapannya tidak memakan banyak waktu dan kami hampir siap meluncurkan kampanye kami. Yang tersisa hanyalah menambahkan halaman phishing.
Membuat halaman phishing
Buka tab “Halaman Arahan”.
Kita akan diminta untuk menentukan nama objeknya. Dimungkinkan untuk mengimpor situs sumber. Dalam contoh kami, saya mencoba menentukan portal web server email yang berfungsi. Oleh karena itu, itu diimpor sebagai kode HTML (walaupun tidak seluruhnya). Berikut ini adalah opsi menarik untuk menangkap masukan pengguna:
-
Tangkap Data yang Dikirim. Jika halaman situs yang ditentukan berisi berbagai formulir input, maka semua data akan dicatat.
-
Tangkap Kata Sandi - ambil kata sandi yang dimasukkan. Data ditulis ke database GoPhish tanpa enkripsi apa adanya.
Selain itu, kita dapat menggunakan opsi “Redirect to”, yang akan mengarahkan pengguna ke halaman tertentu setelah memasukkan kredensial. Izinkan saya mengingatkan Anda bahwa kami telah menetapkan skenario di mana pengguna diminta untuk mengubah kata sandi untuk email perusahaan. Untuk melakukan ini, ia ditawari halaman portal otorisasi surat palsu, setelah itu pengguna dapat diarahkan ke sumber daya perusahaan mana pun yang tersedia.
Jangan lupa untuk menyimpan halaman yang sudah selesai dan pergi ke bagian “Kampanye Baru”.
Peluncuran penangkapan ikan GoPhish
Kami telah memberikan semua informasi yang diperlukan. Di tab “Kampanye Baru”, buat kampanye baru.
Peluncuran kampanye
Dimana:
Nama
Nama kampanye
Template Email
Templat pesan
Halaman Arahan
Halaman phishing
URL
IP server GoPhish Anda (harus memiliki jangkauan jaringan dengan host korban)
Tanggal peluncuran
Tanggal mulai kampanye
Kirim Email Oleh
Tanggal selesai kampanye (surat didistribusikan secara merata)
Mengirim Profil
Profil pengirim
Grup
Kelompok penerima surat
Setelah memulai, kita selalu dapat mengetahui statistik yang menunjukkan: pesan terkirim, pesan terbuka, klik tautan, data kiri ditransfer ke spam.
Dari statistik kita melihat 1 pesan terkirim, mari kita periksa email dari pihak penerima:
Memang, korban berhasil menerima email phishing yang memintanya mengikuti tautan untuk mengubah kata sandi akun perusahaannya. Kami melakukan tindakan yang diminta, kami dikirim ke Halaman Arahan, bagaimana dengan statistiknya?
Akibatnya, pengguna kami mengeklik tautan phishing, yang berpotensi meninggalkan informasi akunnya.
Catatan penulis: proses entri data tidak direkam karena penggunaan tata letak pengujian, namun opsi seperti itu ada. Namun, konten tersebut tidak dienkripsi dan disimpan dalam database GoPhish, harap diingat.
Alih-alih sebuah kesimpulan
Hari ini kami membahas topik terkini tentang melakukan pelatihan otomatis bagi karyawan untuk melindungi mereka dari serangan phishing dan mengembangkan literasi TI di dalamnya. Gophish diterapkan sebagai solusi yang terjangkau, yang menunjukkan hasil yang baik dalam hal waktu dan hasil penerapan. Dengan alat yang mudah diakses ini, Anda dapat mengaudit karyawan Anda dan membuat laporan tentang perilaku mereka. Jika Anda tertarik dengan produk ini, kami menawarkan bantuan dalam menerapkannya dan mengaudit karyawan Anda ([email dilindungi]).
Namun, kami tidak akan berhenti meninjau satu solusi dan berencana untuk melanjutkan siklusnya, di mana kami akan membahas solusi Perusahaan untuk mengotomatiskan proses pelatihan dan memantau keamanan karyawan. Tetap bersama kami dan waspada!
Sumber: www.habr.com