1. 情報セキュリティの基本についてユーザーをトレーニングします。 フィッシングとの戦い

現在、ネットワーク管理者や情報セキュリティ エンジニアは、企業ネットワークの境界をさまざまな脅威から保護するために多大な時間と労力を費やし、イベントを防止および監視するための新しいシステムを習得していますが、これでも完全なセキュリティが保証されるわけではありません。 ソーシャル エンジニアリングは攻撃者によって積極的に使用されており、重大な結果をもたらす可能性があります。

「スタッフ向けに情報セキュリティ リテラシーのテストを実施できたらいいのに」と何度考えたことがあるでしょうか。 残念ながら、勤務時間内での大量のタスクや限られた時間という形で、思考は誤解の壁にぶつかります。 私たちは、人材トレーニングの自動化分野における最新の製品とテクノロジーについて、パイロットや実装のための長時間のトレーニングを必要とせず、すべてを順番に説明する予定です。

理論的基礎

現在、悪意のあるファイルの 80% 以上が電子メール経由で配布されています (データは、インテリジェンス レポート サービスを使用して、過去 XNUMX 年間にチェック ポイントの専門家から寄せられたレポートから取得したものです)。

悪意のあるファイルの配布の攻撃ベクトルに関する過去 30 日間のレポート (ロシア) - Check Point

これは、電子メール メッセージのコンテンツが攻撃者による悪用に対して非常に脆弱であることを示唆しています。 添付ファイル内の最も一般的な悪意のあるファイル形式 (EXE、RTF、DOC) を考慮すると、それらには原則として、コード実行の自動要素 (スクリプト、マクロ) が含まれていることは注目に値します。

受信した悪意のあるメッセージのファイル形式に関する年次レポート - Check Point

この攻撃ベクトルにどう対処すればよいでしょうか? メールのチェックにはセキュリティ ツールの使用が含まれます。 

• アンチウイルス — 脅威のシグネチャ検出。

• エミュレーション - 添付ファイルを隔離された環境で開くためのサンドボックス。

• コンテンツの認識 — ドキュメントからアクティブな要素を抽出します。 ユーザーは、クリーンアップされたドキュメント (通常は PDF 形式) を受け取ります。

• アンチスパム — 受信者/送信者のドメインの評判を確認します。

そして、理論的にはこれで十分ですが、会社にとってはもう XNUMX つ同様に貴重なリソースがあります。それは、企業データと従業員の個人データです。 近年、次のようなインターネット詐欺が盛んに行われています。

フィッシング （英語のフィッシング、釣り - 釣り、釣りから） - インターネット詐欺の一種。 その目的は、ユーザー識別データを取得することです。 これには、パスワード、クレジット カード番号、銀行口座、その他の機密情報の盗難が含まれます。

攻撃者はフィッシング攻撃の手法を改良し、人気のあるサイトからの DNS リクエストをリダイレクトし、ソーシャル エンジニアリングを使用して電子メールを送信するキャンペーン全体を開始しています。 

したがって、企業電子メールをフィッシングから保護するには、次の XNUMX つのアプローチを使用することをお勧めします。これらを組み合わせて使用​​することで最良の結果が得られます。

1. 技術的な保護ツール。 前述したように、正当なメールのみをチェックして転送するために、さまざまなテクノロジーが使用されています。

2. 理論的な人材育成。 これは、潜在的な犠牲者を特定するための職員の包括的な検査で構成されます。 その後、再トレーニングされ、統計が常に記録されます。   

信用して確認しないでください

今日は、フィッシング攻撃を防ぐための XNUMX 番目のアプローチ、つまり、企業データと個人データの全体的なセキュリティ レベルを高めるための人材トレーニングの自動化について説明します。 なぜこれほど危険なことがあるのでしょうか?

ソーシャルエンジニアリング — 特定の行動を実行したり、（情報セキュリティに関連して）機密情報を開示したりするために、人々を心理的に操作すること。

典型的なフィッシング攻撃展開シナリオの図

フィッシング キャンペーンの流れを簡単に説明した楽しいフローチャートを見てみましょう。 さまざまな段階があります。

1. 一次データの収集。

   21世紀では、ソーシャルネットワークやさまざまなテーマのフォーラムに登録していない人を見つけるのは困難です。 当然のことながら、私たちの多くは、現在の勤務先、同僚のグループ、電話、メールなど、自分自身に関する詳細な情報を残します。 これに、個人の興味に関するパーソナライズされた情報を追加すると、フィッシング テンプレートを形成するためのデータが得られます。 たとえそのような情報を持っている人を見つけることができなかったとしても、興味のあるすべての情報 (ドメイン メール、連絡先、コネクション) を見つけることができる企業 Web サイトが常に存在します。

2. キャンペーンの開始。

   出発点を用意したら、無料または有料のツールを使用して、独自のターゲットを絞ったフィッシング キャンペーンを開始できます。 メールの送信プロセス中に、配信されたメール、開封されたメール、クリックされたリンク、入力された認証情報などの統計が蓄積されます。

市販の製品

フィッシングは、攻撃者と企業の情報セキュリティ担当者の両方が、従業員の行動を継続的に監査するために利用する可能性があります。 企業従業員向けの自動トレーニング システムの無料および商用ソリューションの市場は、次のようなものを提供してくれます。

1. ゴーフィッシュ は、フィッシング キャンペーンを展開して従業員の IT リテラシーをチェックできるオープン ソース プロジェクトです。 メリットとしては、展開が簡単で、システム要件が最小限であることだと思います。 欠点は、既製の郵送テンプレートがないこと、スタッフ向けのテストやトレーニング資料が不足していることです。

2. KnowBe4 — テスト担当者が利用できる製品が多数あるサイト。

3. フィッシュマン — 従業員のテストとトレーニングのための自動システム。 10 人から 1000 人以上の従業員をサポートする製品のさまざまなバージョンがあります。 トレーニング コースには理論と実践的な課題が含まれており、フィッシング キャンペーン後に得られた統計に基づいてニーズを特定することができます。 このソリューションは商用利用可能で、試用も可能です。

4. 対詐欺 — 自動トレーニングおよびセキュリティ監視システム。 この商用製品では、定期的なトレーニング攻撃、従業員トレーニングなどが提供されます。 キャンペーンは製品のデモ版として提供されており、テンプレートの展開と XNUMX つのトレーニング攻撃の実施が含まれます。

上記のソリューションは、自動人材トレーニング市場で利用可能な製品の一部にすぎません。 もちろん、それぞれに独自の長所と短所があります。 今日、私たちは知り合いになります ゴーフィッシュ、フィッシング攻撃をシミュレートし、利用可能なオプションを調べます。

ゴーフィッシュ

さあ、練習の時間です。 GoPhish が選ばれたのは偶然ではありません。GoPhish は、次の機能を備えた使いやすいツールです。

1. インストールと起動が簡素化されました。

2. REST APIのサポート。 からクエリを作成できます。 ドキュメンテーション 自動スクリプトを適用します。 

3. 便利なグラフィカルコントロールインターフェイス。

4. クロスプラットフォーム。

開発チームは素晴らしいものを用意しました ガイド GoPhish の展開と構成について。 実際、あなたがしなければならないのは、次の場所に行くことだけです。 リポジトリ、対応する OS の ZIP アーカイブをダウンロードし、内部バイナリ ファイルを実行すると、ツールがインストールされます。

重要なお知らせ！

その結果、デプロイされたポータルに関する情報と認証データ (バージョン 0.10.1 より古いバージョンに関連) がターミナルで受信されるはずです。 自分のパスワードを保護することを忘れないでください。

msg="Please login with the username admin and the password <ПАРОЛЬ>"

GoPhish の設定を理解する

インストール後、アプリケーションディレクトリに設定ファイル（config.json）が作成されます。 それを変更するためのパラメータを説明しましょう。

キー

値 (デフォルト)

説明

admin_server.listen_url

127.0.0.1:3333

GoPhish サーバーの IP アドレス

admin_server.use_tls

false

GoPhish サーバーへの接続に TLS が使用されていますか

admin_server.cert_path

たとえば .crt

GoPhish 管理ポータルの SSL 証明書へのパス

admin_server.key_path

例.キー

秘密SSLキーへのパス

phish_server.listen_url

0.0.0.0:80

フィッシング ページがホストされている IP アドレスとポート (デフォルトでは、GoPhish サーバー自体のポート 80 でホストされています)

—> 管理ポータルに移動します。 私たちの場合には： https://127.0.0.1:3333

—> かなり長いパスワードを簡単なパスワードに変更するか、その逆に変更するように求められます。

送信者プロファイルの作成

「送信プロファイル」タブに移動し、メールの送信元となるユーザーに関する情報を入力します。

ここで：

名前

送信者名

送信者の電子メール

ライブ、セミライブ、オンデマンドビデオ

受信メールをリッスンするメール サーバーの IP アドレス。

メールサーバーのユーザーアカウントログイン。

パスワード

メールサーバーのユーザーアカウントのパスワード。

テスト メッセージを送信して、配信が成功したことを確認することもできます。 「プロファイルを保存」ボタンを使用して設定を保存します。

受信者のグループを作成する

次に、「チェーン レター」受信者のグループを形成する必要があります。 「ユーザーとグループ」→「新しいグループ」に進みます。 追加する方法は XNUMX つあります。手動で追加する方法と、CSV ファイルをインポートする方法です。

XNUMX 番目の方法では、次の必須フィールドが必要です。

• 名

• 姓

• メール

• 役職

例として：

First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]

フィッシングメールテンプレートの作成

仮想の攻撃者と潜在的な被害者を特定したら、メッセージを含むテンプレートを作成する必要があります。 これを行うには、「電子メール テンプレート」→「新しいテンプレート」セクションに移動します。

テンプレートを作成するときは、技術的かつ創造的なアプローチが使用されます。サービスからのメッセージは、被害ユーザーに馴染みのあるもの、または被害ユーザーに特定の反応を引き起こすものを指定する必要があります。 可能なオプション:

名前

テンプレート名

件名

手紙の件名

テキスト/ HTML

テキストまたはHTMLコードを入力するフィールド

Gophish は文字のインポートをサポートしていますが、独自の文字を作成します。 これを行うために、企業ユーザーが社内メールからパスワードの変更を求める手紙を受け取るというシナリオをシミュレートします。 次に、彼の反応を分析して「キャッチ」を見てみましょう。

テンプレート内の組み込み変数を使用します。 詳細については上記を参照してください ガイド セクション テンプレート リファレンス.

まず、次のテキストをロードしましょう。

{{.FirstName}},

The password for {{.Email}} has expired. Please reset your password here.

Thanks,
IT Team

これにより、ユーザーの名前が（以前に指定した「新しいグループ」項目に従って）自動的に入力され、彼の住所が表示されます。

次に、フィッシング リソースへのリンクを提供する必要があります。 これを行うには、テキスト内の「ここ」という単語を強調表示し、コントロール パネルで「リンク」オプションを選択します。

URL を組み込み変数 {{.URL}} に設定します。これは後で入力します。 フィッシングメールの本文に自動的に埋め込まれます。

テンプレートを保存する前に、「トラッキング画像の追加」オプションを忘れずに有効にしてください。 これにより、ユーザーが電子メールを開いたかどうかを追跡する 1x1 ピクセルのメディア要素が追加されます。

残りはあまり多くありませんが、まず Gophish ポータルにログインした後に必要な手順をまとめます。 

1. 送信者プロファイルを作成します。

2. ユーザーを指定する配布グループを作成します。

3. フィッシングメールのテンプレートを作成します。

同意します。セットアップにはそれほど時間はかかりませんでした。キャンペーンを開始する準備はほぼ整いました。 残っているのはフィッシング ページを追加することだけです。

フィッシングページの作成

「ランディングページ」タブに移動します。

オブジェクトの名前を指定するように求められます。 ソースサイトをインポートすることが可能です。 この例では、メール サーバーの動作中の Web ポータルを指定しようとしました。 したがって、（完全ではありませんが）HTML コードとしてインポートされました。 ユーザー入力を取得するための興味深いオプションを次に示します。

• 送信されたデータをキャプチャします。 指定したサイトページに各種入力フォームが含まれる場合、すべてのデータが記録されます。

• パスワードのキャプチャ - 入力されたパスワードをキャプチャします。 データは暗号化されずにそのまま GoPhish データベースに書き込まれます。

さらに、「リダイレクト先」オプションを使用すると、資格情報を入力した後にユーザーを指定されたページにリダイレクトできます。 ユーザーが企業電子メールのパスワードを変更するように求められるシナリオを設定していることを思い出してください。 これを行うために、偽のメール認証ポータル ページが提供され、その後、ユーザーは利用可能な任意の企業リソースに送信されます。

完成したページを忘れずに保存し、「新しいキャンペーン」セクションに移動してください。

GoPhish フィッシングの開始

必要な情報はすべて提供しました。 「新規キャンペーン」タブで、新しいキャンペーンを作成します。

キャンペーンを開始する

ここで：

名前

キャンペーン名

メールテンプレート

メッセージテンプレート

ランディングページ

フィッシングページ

URL

GoPhish サーバーの IP (被害者のホストとのネットワーク到達可能性が必要)

打ち上げ日

キャンペーン開​​始日

メールの送信者

キャンペーン終了日（均等配布）

送信プロファイル

送信者プロフィール

グループ

メール受信者グループ

開始後は、送信メッセージ、開いたメッセージ、リンクのクリック、スパムに転送された残データなどを示す統計を常に知ることができます。

統計から、1 つのメッセージが送信されたことがわかります。受信者側からメールを確認してみましょう。

実際、被害者は、企業アカウントのパスワードを変更するためのリンクをたどるよう求めるフィッシングメールを無事に受け取りました。 要求されたアクションを実行し、ランディング ページに送信されます。統計はどうなるのでしょうか?

その結果、ユーザーはフィッシング リンクをクリックし、アカウント情報が残される可能性がありました。

著者のメモ： テスト レイアウトを使用したため、データ入力プロセスは記録されませんでしたが、そのようなオプションは存在します。 ただし、コンテンツは暗号化されず、GoPhish データベースに保存されるため、この点に注意してください。

代わりに、結論の

今日は、従業員をフィッシング攻撃から守り、IT リテラシーを高めるために、従業員向けの自動トレーニングを実施するという現在のトピックについて触れました。 Gophish は手頃な価格のソリューションとして導入され、導入時間と結果の点で良好な結果が得られました。 このアクセス可能なツールを使用すると、従業員を監査し、従業員の行動に関するレポートを生成できます。 この製品にご興味がございましたら、その導入と従業員の監査に関する支援を提供いたします ([メール保護]).

ただし、XNUMX つのソリューションの検討にとどまらず、トレーニング プロセスを自動化し、従業員のセキュリティを監視するためのエンタープライズ ソリューションについても話し合うサイクルを継続する予定です。 私たちと一緒にいて、警戒してください！

出所： habr.com