Oggi un amministratore di rete o un ingegnere della sicurezza delle informazioni dedica molto tempo e sforzi per proteggere il perimetro di una rete aziendale da varie minacce, padroneggia nuovi sistemi per prevenire e monitorare gli eventi, ma anche questo non gli garantisce la completa sicurezza. L'ingegneria sociale viene utilizzata attivamente dagli aggressori e può avere gravi conseguenze.
Quante volte ti sei sorpreso a pensare: "Sarebbe bello organizzare un controllo per l'alfabetizzazione del personale in sicurezza informatica"? Sfortunatamente, i pensieri si imbattono in un muro di incomprensioni sotto forma di un gran numero di compiti o del tempo limitato della giornata lavorativa. Abbiamo in programma di parlarvi di prodotti e tecnologie moderni nel campo dell'automazione della formazione del personale, che non richiederanno una lunga preparazione per il pilotaggio o l'implementazione, ma prima di tutto.
Fondamento teorico
Oggi, oltre l'80% dei file dannosi viene distribuito per posta (dati tratti dai rapporti degli esperti di Check Point nell'ultimo anno utilizzando il servizio Intelligence Reports).
Rapporto sui vettori di attacco di file dannosi (Russia) - Punto di controllo
Ciò suggerisce che il contenuto dei messaggi di posta elettronica è abbastanza vulnerabile da essere sfruttato dagli aggressori. Se consideriamo i formati di file dannosi più popolari negli allegati (EXE, RTF, DOC), vale la pena notare che di solito contengono elementi di esecuzione automatica del codice (script, macro).
Rapporto annuale sui formati di file nei messaggi dannosi ricevuti - Check Point
Come affrontare questo vettore di attacco? Il controllo della posta utilizza strumenti di sicurezza:
-
antivirus — Rilevamento della firma delle minacce.
-
Emulazione - una sandbox con la quale gli allegati vengono aperti in un ambiente isolato.
-
Consapevolezza dei contenuti — estrazione di elementi attivi dai documenti. L'utente riceve un documento pulito (di solito in formato PDF).
-
Anti-spam - verifica della reputazione del dominio del destinatario/mittente.
E, in teoria, questo è sufficiente, ma esiste un'altra risorsa altrettanto preziosa per l'azienda: i dati aziendali e personali dei dipendenti. Negli ultimi anni, la popolarità del seguente tipo di frode su Internet è cresciuta attivamente:
phishing (Phishing inglese, dalla pesca - pesca, pesca) - un tipo di frode su Internet. Il suo scopo è ottenere dati di identificazione dell'utente. Ciò include il furto di password, numeri di carte di credito, conti bancari e altre informazioni sensibili.
Gli aggressori stanno perfezionando gli attacchi di phishing, reindirizzando le richieste DNS da siti popolari e implementando intere campagne utilizzando l'ingegneria sociale per inviare e-mail.
Pertanto, per proteggere la tua e-mail aziendale dal phishing, sono consigliati due approcci e utilizzarli insieme porta ai migliori risultati:
-
Strumenti di protezione tecnica. Come accennato in precedenza, vengono utilizzate varie tecnologie per controllare e inoltrare solo la posta legittima.
-
Formazione teorica del personale. Consiste in test completi del personale per identificare potenziali vittime. Inoltre, vengono riqualificati, le statistiche vengono costantemente registrate.
Non fidarti e verifica
Oggi parleremo del secondo approccio alla prevenzione degli attacchi di phishing, ovvero la formazione automatizzata del personale al fine di aumentare il livello complessivo di sicurezza dei dati aziendali e personali. Perché può essere così pericoloso?
Ingegneria sociale - manipolazione psicologica delle persone al fine di compiere determinate azioni o divulgare informazioni riservate (in relazione alla sicurezza delle informazioni).
Diagramma di un tipico scenario di distribuzione di un attacco di phishing
Diamo un'occhiata a un divertente diagramma di flusso che descrive brevemente il percorso per promuovere una campagna di phishing. Ha diverse fasi:
-
Raccolta dei dati primari.
Nel 21° secolo è difficile trovare una persona che non sia registrata in nessun social network o in vari forum tematici. Naturalmente, molti di noi lasciano informazioni dettagliate su noi stessi: luogo di lavoro attuale, gruppo per colleghi, telefono, posta, ecc. Aggiungete a queste informazioni personalizzate sugli interessi di una persona e avrete i dati per formare un modello di phishing. Anche se non è stato possibile reperire persone con tali informazioni, esiste sempre un sito aziendale da cui è possibile reperire tutte le informazioni che ci interessano (mail dominio, contatti, collegamenti).
-
Lancio della campagna.
Una volta stabilito il punto d'appoggio, puoi lanciare la tua campagna di phishing mirata utilizzando strumenti gratuiti oa pagamento. Nel corso della mailing list, accumulerai statistiche: posta consegnata, posta aperta, clic sui link, inserimento credenziali, ecc.
Prodotti sul mercato
Il phishing può essere utilizzato sia dai criminali informatici che dai dipendenti della sicurezza delle informazioni dell'azienda per condurre un controllo continuo del comportamento dei dipendenti. Cosa ci offre gratuitamente il mercato e soluzioni commerciali per un sistema di formazione automatizzato per i dipendenti dell'azienda:
-
è un progetto open source che ti consente di implementare un'azienda di phishing per verificare l'alfabetizzazione informatica dei tuoi dipendenti. I vantaggi includerei la facilità di implementazione e i requisiti minimi di sistema. Gli svantaggi sono la mancanza di modelli di mailing già pronti, la mancanza di test e materiali di formazione per il personale.
-
— una piattaforma con un gran numero di prodotti disponibili per i test del personale.
-
— un sistema automatizzato per i test e la formazione dei dipendenti. Ha diverse versioni di prodotti che supportano da 10 a più di 1000 dipendenti. I corsi di formazione includono teoria e compiti pratici, è possibile identificare le esigenze in base alle statistiche ottenute dopo la campagna di phishing. La soluzione è commerciale con possibilità di utilizzo in prova.
-
— sistema automatizzato di formazione e controllo della sicurezza. Un prodotto commerciale offre attacchi fittizi periodici, formazione dei dipendenti, ecc. Come versione demo del prodotto, viene offerta una campagna che include la distribuzione di modelli e l'esecuzione di tre attacchi di addestramento.
Le suddette soluzioni sono solo una parte dei prodotti disponibili sul mercato della formazione automatizzata del personale. Naturalmente, ognuno ha i suoi vantaggi e svantaggi. Oggi faremo conoscenza , simula un attacco di phishing, esplora le opzioni disponibili.
GoPish
Quindi, è il momento della pratica. GoPhish non è stato scelto a caso: si tratta di uno strumento user-friendly con le seguenti caratteristiche:
-
Installazione e avvio semplificati.
-
Supporto dell'API REST. Consente di generare richieste da e applicare script automatizzati.
-
Comoda interfaccia utente grafica.
-
Multipiattaforma.
Il team di sviluppo ha preparato un eccellente sulla distribuzione e configurazione di GoPhish. In effetti, devi solo andare a , scarica l'archivio ZIP per il sistema operativo corrispondente, esegui il file binario interno, dopodiché lo strumento verrà installato.
NOTA IMPORTANTE!
Di conseguenza, dovresti ricevere informazioni sul portale implementato nel terminale, nonché i dati per l'autorizzazione (rilevante per le versioni precedenti alla versione 0.10.1). Non dimenticare di salvare la tua password!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Comprensione della configurazione di GoPhish
Dopo l'installazione, verrà creato un file di configurazione (config.json) nella directory dell'applicazione. Descriviamo i parametri per modificarlo:
Chiave
Valore (predefinito)
descrizione
admin_server.ascolta_url
127.0.0.1:3333
Indirizzo IP del server GoPhish
server_admin.use_tls
falso
TLS è utilizzato per connettersi al server GoPhish
server_admin.percorso_cert
esempio.crt
Percorso del certificato SSL per il portale di amministrazione di GoPhish
server_admin.percorso_chiave
esempio.chiave
Percorso della chiave SSL privata
phish_server.listen_url
0.0.0.0:80
Pagina di phishing che ospita l'indirizzo IP e la porta (ospitata sullo stesso server GoPhish sulla porta 80 per impostazione predefinita)
—> Vai al portale di gestione. Nel nostro caso: https://127.0.0.1:3333
-> Ti verrà chiesto di cambiare una password sufficientemente lunga con una più semplice o viceversa.
Creazione di un profilo mittente
Vai alla scheda "Profili di invio" e specifica i dati sull'utente da cui verrà inviata la nostra posta:
Dove:
Nome
Nome del mittente
Da
Posta del mittente
ospite
L'indirizzo IP del server di posta da cui verrà ascoltata la posta in arrivo.
Nome utente
Accesso all'account utente del server di posta.
Password
La password per l'account utente del server di posta.
Puoi anche inviare un messaggio di prova per assicurarti che la consegna sia andata a buon fine. Salvare le impostazioni utilizzando il pulsante "Salva profilo".
Crea un gruppo di destinazione
Successivamente, dovresti formare un gruppo di destinatari di "lettere di felicità". Andare su "Utenti e gruppi" → "Nuovo gruppo". Ci sono due modi per aggiungere: manualmente o importando un file CSV.
Il secondo metodo richiede la presenza di campi obbligatori:
-
Nome
-
Cognome
-
E-mail
-
Posizione
Ad esempio:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Crea un modello di email di phishing
Dopo aver identificato l'attaccante immaginario e le potenziali vittime, dobbiamo creare un modello di messaggio. Per fare ciò, vai alla sezione "Modelli email" → "Nuovi modelli".
Quando si forma un modello, viene utilizzato un approccio tecnico e creativo, è necessario specificare un messaggio dal servizio che sia familiare agli utenti vittima o provochi loro una certa reazione. Opzioni possibili:
Nome
Nome modello
Oggetto
Riga dell'oggetto
Testo/HTML
Campo per l'inserimento di testo o codice HTML
Gophish supporta l'importazione di e-mail, ma ne creeremo una nostra. Per fare ciò, simuliamo uno scenario: un utente aziendale riceve dalla sua posta aziendale una lettera con la proposta di cambiare la password. Successivamente, analizziamo la sua reazione e osserviamo la nostra "cattura".
Useremo le variabili integrate nel modello. Maggiori dettagli possono essere trovati in quanto sopra sezione .
Per prima cosa, carichiamo il seguente testo:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamDi conseguenza, il nome utente verrà automaticamente sostituito (secondo la voce “Nuovo gruppo” precedentemente impostata) e verrà indicato il suo indirizzo postale.
Successivamente, dovremmo fornire un collegamento alla nostra risorsa di phishing. Per fare ciò, seleziona la parola "qui" nel testo e seleziona l'opzione "Link" sul pannello di controllo.
Come URL, specificheremo la variabile integrata {{.URL}}, che compileremo in seguito. Verrà automaticamente incorporato nel corpo dell'e-mail di phishing.
Non dimenticare di abilitare l'opzione "Aggiungi immagine di tracciamento" prima di salvare il modello. Questo aggiungerà un elemento multimediale di 1x1 pixel che terrà traccia di quando l'utente ha aperto l'e-mail.
Quindi, non rimane molto, ma prima riepiloghiamo i passaggi richiesti dopo l'autorizzazione sul portale Gophish:
-
Creare un profilo mittente;
-
Creare un gruppo di distribuzione dove specificare gli utenti;
-
Crea un modello di email di phishing.
D'accordo, l'installazione non ha richiesto molto tempo e siamo quasi pronti per lanciare la nostra campagna. Resta da aggiungere una pagina di phishing.
Creazione di una pagina di phishing
Vai alla scheda "Pagine di destinazione".
Verrà richiesto di specificare il nome dell'oggetto. È possibile importare il sito di origine. Nel nostro esempio, ho provato a specificare un portale Web del server di posta funzionante. Di conseguenza, è stato importato come codice HTML (anche se non completamente). Le seguenti sono opzioni interessanti per acquisire l'input dell'utente:
-
Cattura dati inviati. Se la pagina del sito specificata contiene vari moduli di input, tutti i dati verranno registrati.
-
Acquisisci password: acquisisci le password immesse. I dati vengono scritti nel database GoPhish senza crittografia, così come sono.
Inoltre, possiamo utilizzare l'opzione "Reindirizza a", che reindirizzerà l'utente alla pagina specificata dopo aver inserito le credenziali. Permettetemi di ricordarvi che abbiamo impostato uno scenario in cui all'utente viene richiesto di modificare la password per la posta aziendale. Per fare ciò, gli viene offerta una pagina falsa del portale di autorizzazione della posta, dopodiché l'utente può essere inviato a qualsiasi risorsa aziendale disponibile.
Non dimenticare di salvare la pagina completata e vai alla sezione "Nuova campagna".
Lancio della pesca GoPhish
Abbiamo fornito tutte le informazioni richieste. Nella scheda "Nuova campagna", crea una nuova campagna.
Lancio della campagna
Dove:
Nome
nome della campagna
Modello e-mail
Modello di messaggio
Pagina di destinazione
Pagina di phishing
URL
IP del tuo server GoPhish (deve avere la raggiungibilità di rete con l'host della vittima)
Ora Di Pranzo
Data di inizio della campagna
Invia e-mail per
Data di fine della campagna (la spedizione è distribuita uniformemente)
Profilo di invio
Profilo del mittente
ATTIVITA' E GRUPPI
Gruppo di destinatari della posta
Dopo l'inizio, possiamo sempre conoscere le statistiche, che indicano: messaggi inviati, messaggi aperti, clic sui collegamenti, dati rimasti, trasferimento allo spam.
Dalle statistiche vediamo che è stato inviato 1 messaggio, controlliamo la posta dal lato del destinatario:
In effetti, la vittima ha ricevuto con successo un'e-mail di phishing in cui si chiedeva di seguire il collegamento per modificare la password dell'account aziendale. Eseguiamo le azioni richieste, veniamo indirizzati alla pagina delle Landing Page, e le statistiche?
Di conseguenza, il nostro utente ha seguito un collegamento di phishing in cui poteva potenzialmente lasciare le informazioni del suo account.
Nota dell'autore: il processo di immissione dei dati non è stato risolto a causa dell'utilizzo di un layout di prova, ma esiste tale opzione. Allo stesso tempo, il contenuto non è crittografato ed è memorizzato nel database GoPhish, tieni presente questo.
Invece di una conclusione
Oggi abbiamo toccato l'attualità della conduzione di corsi di formazione automatizzati per i dipendenti al fine di proteggerli dagli attacchi di phishing ed educarli all'alfabetizzazione informatica. Come soluzione conveniente, è stato implementato Gophish, che ha funzionato bene in termini di tempo di implementazione fino al risultato. Con questo strumento conveniente, puoi controllare i tuoi dipendenti e generare report sul loro comportamento. Se sei interessato a questo prodotto, ti offriamo assistenza per l'implementazione e l'audit dei tuoi dipendenti ([email protected]).
Tuttavia, non ci fermeremo alla revisione di una soluzione e prevediamo di continuare il ciclo, dove parleremo di soluzioni Enterprise per automatizzare il processo di apprendimento e monitorare la sicurezza dei dipendenti. Resta con noi e sii vigile!
Fonte: habr.com