Бүгінгі күні желі әкімшісі немесе ақпараттық қауіпсіздік инженері кәсіпорын желісінің периметрін әртүрлі қауіптерден қорғауға, оқиғалардың алдын алу және бақылаудың жаңа жүйелерін меңгеруге көп уақыт пен күш жұмсайды, бірақ бұл да толық қауіпсіздікке кепілдік бермейді. Әлеуметтік инженерия шабуылдаушылармен белсенді түрде қолданылады және ауыр зардаптарға әкелуі мүмкін.
«Ақпараттық қауіпсіздік сауаттылығы бойынша қызметкерлерге тест ұйымдастырған дұрыс болар еді» деген ойға қаншалықты жиі түстіңіз? Өкінішке орай, ойлар көптеген тапсырмалар немесе жұмыс күніндегі шектеулі уақыт түрінде түсінбеушілік қабырғасына түседі. Біз сізге персоналды оқытуды автоматтандыру саласындағы заманауи өнімдер мен технологиялар туралы айтып беруді жоспарлап отырмыз, бұл пилоттық немесе енгізу үшін ұзақ дайындықты қажет етпейді, бірақ барлығы туралы тәртіппен.
Теориялық негіз
Бүгінгі таңда зиянды файлдардың 80%-дан астамы электрондық пошта арқылы таратылады (деректер Intelligence Reports қызметін пайдалану арқылы өткен жылдағы Check Point мамандарының есептерінен алынған).
Зиянды файлдарды таратуға арналған шабуыл векторы туралы соңғы 30 күндегі есеп (Ресей) - Check Point
Бұл электрондық пошта хабарларындағы мазмұнның шабуылдаушылардың пайдалануына өте осал екенін көрсетеді. Қосымшалардағы (EXE, RTF, DOC) ең танымал зиянды файл пішімдерін қарастыратын болсақ, оларда, әдетте, кодты орындаудың автоматты элементтері (скрипттер, макростар) бар екенін атап өткен жөн.
Қабылданған зиянды хабарламалардағы файл пішімдері туралы жылдық есеп - Check Point
Бұл шабуыл векторымен қалай күресуге болады? Поштаны тексеру қауіпсіздік құралдарын пайдалануды қамтиды:
-
Антивирус — қауіптерді қолтаңбамен анықтау.
-
эмуляция - оқшауланған ортада қосымшалар ашылатын құмсалғыш.
-
Мазмұнды білу — құжаттардан белсенді элементтерді шығару. Пайдаланушы тазартылған құжатты алады (әдетте PDF пішімінде).
-
Спамға қарсы — репутация үшін алушы/жіберуші доменін тексеру.
Және, теориялық тұрғыдан, бұл жеткілікті, бірақ компания үшін тағы бір бірдей құнды ресурс бар - қызметкерлердің корпоративтік және жеке деректері. Соңғы жылдары Интернеттегі алаяқтықтың келесі түрінің танымалдығы белсенді түрде өсуде:
Фишинг (ағылш. фишинг, балық аулаудан – балық аулау, балық аулау) – интернеттегі алаяқтықтың бір түрі. Оның мақсаты - пайдаланушының сәйкестендіру деректерін алу. Бұған құпия сөздерді, несие картасы нөмірлерін, банктік шоттарды және басқа да құпия ақпаратты ұрлау кіреді.
Шабуылшылар фишингтік шабуылдардың әдістерін жетілдіреді, танымал сайттардан DNS сұрауларын қайта бағыттайды және электрондық хаттарды жіберу үшін әлеуметтік инженерияны қолдана отырып, бүкіл науқандарды бастайды.
Осылайша, корпоративтік электрондық поштаңызды фишингтен қорғау үшін екі тәсілді пайдалану ұсынылады және оларды біріктіріп пайдалану жақсы нәтижелерге әкеледі:
-
Техникалық қорғау құралдары. Жоғарыда айтылғандай, тек заңды поштаны тексеру және жіберу үшін әртүрлі технологиялар қолданылады.
-
Кадрларды теориялық оқыту. Ол ықтимал құрбандарды анықтау үшін қызметкерлерді кешенді тестілеуді қамтиды. Одан кейін оларды қайта даярлап, статистиканы үнемі жазып отырады.
Сенбеңіз және тексеріңіз
Бүгін біз фишингтік шабуылдардың алдын алудың екінші тәсілі, атап айтқанда корпоративтік және жеке деректердің жалпы қауіпсіздігін арттыру мақсатында кадрларды автоматтандырылған оқыту туралы сөйлесетін боламыз. Неліктен бұл соншалықты қауіпті болуы мүмкін?
Әлеуметтік инженерия — белгілі бір әрекеттерді орындау немесе құпия ақпаратты ашу мақсатында адамдарды психологиялық айла-шарғы жасау (ақпараттық қауіпсіздікке қатысты).
Әдеттегі фишингтік шабуылды орналастыру сценарийінің диаграммасы
Фишингтік науқанның саяхатын қысқаша сипаттайтын қызықты блок-схеманы қарастырайық. Оның әртүрлі кезеңдері бар:
-
Алғашқы мәліметтерді жинау.
21 ғасырда ешбір әлеуметтік желіде немесе түрлі тақырыптық форумдарда тіркелмеген адамды табу қиын. Әрине, көпшілігіміз өзіміз туралы толық ақпаратты қалдырамыз: ағымдағы жұмыс орны, әріптестерге арналған топ, телефон, пошта және т.б. Бұған адамның мүдделері туралы жекелендірілген ақпаратты қосыңыз және фишинг үлгісін қалыптастыру үшін деректеріңіз бар. Мұндай ақпараты бар адамдарды таба алмасақ та, бізді қызықтыратын барлық ақпаратты (домендік электрондық пошта, контактілер, қосылымдар) таба алатын компанияның веб-сайты әрқашан бар.
-
Науқанның басталуы.
Сізде трамплин болғаннан кейін жеке мақсатты фишингтік науқанды бастау үшін тегін немесе ақылы құралдарды пайдалануға болады. Жіберу процесінде сіз статистиканы жинақтайсыз: жеткізілген пошта, ашылған пошта, басылған сілтемелер, енгізілген тіркелгі деректері және т.б.
Нарықтағы өнімдер
Фишингті шабуылдаушылар да, компанияның ақпараттық қауіпсіздік қызметкерлері де қызметкерлердің мінез-құлқына тұрақты аудит жүргізу үшін пайдалана алады. Компания қызметкерлерін оқытудың автоматтандырылған жүйесіне арналған тегін және коммерциялық шешімдер нарығы бізге не ұсынады:
-
қызметкерлеріңіздің АТ сауаттылығын тексеру үшін фишингтік науқанды қолдануға мүмкіндік беретін ашық бастапқы жоба. Артықшылықтарды орналастырудың қарапайымдылығы және ең аз жүйелік талаптар деп санаймын. Кемшіліктері ретінде дайын жіберу үлгілерінің жоқтығы, қызметкерлерге арналған тесттер мен оқу материалдарының жоқтығы жатады.
-
— персоналды сынауға арналған қолжетімді өнімдердің көп саны бар сайт.
-
— қызметкерлерді тестілеу мен оқытудың автоматтандырылған жүйесі. 10-нан 1000-нан астам қызметкерді қолдайтын өнімдердің әртүрлі нұсқалары бар. Оқу курстары теориялық және практикалық тапсырмаларды қамтиды, фишингтік компаниядан кейін алынған статистикалық мәліметтер негізінде қажеттіліктерді анықтауға болады. Шешім сынақта пайдалану мүмкіндігімен коммерциялық болып табылады.
-
— автоматтандырылған оқыту және қауіпсіздік мониторингі жүйесі. Коммерциялық өнім мерзімді оқыту шабуылдарын, қызметкерлерді оқытуды және т.б. ұсынады. Өнімнің демонстрациялық нұсқасы ретінде науқан ұсынылады, оған үлгілерді орналастыру және үш жаттығу шабуылын өткізу кіреді.
Жоғарыда аталған шешімдер автоматтандырылған кадрларды оқыту нарығында қолжетімді өнімдердің бір бөлігі ғана. Әрине, әрқайсысының өзіндік артықшылықтары мен кемшіліктері бар. Бүгін біз танысамыз , фишингтік шабуылды имитациялаңыз және қолжетімді опцияларды зерттеңіз.
GoPhish
Сонымен, жаттығудың уақыты келді. GoPhish кездейсоқ таңдалмаған: бұл келесі мүмкіндіктері бар пайдаланушыға ыңғайлы құрал:
-
Жеңілдетілген орнату және іске қосу.
-
REST API қолдауы. сұрауларды жасауға мүмкіндік береді және автоматтандырылған сценарийлерді қолданыңыз.
-
Ыңғайлы графикалық басқару интерфейсі.
-
Кросс-платформа.
Әзірлеу тобы тамаша дайындады GoPhish қолдану және конфигурациялау туралы. Шын мәнінде, сізге бару керек , сәйкес ОЖ үшін ZIP мұрағатын жүктеп алыңыз, ішкі екілік файлды іске қосыңыз, содан кейін құрал орнатылады.
МАҢЫЗДЫ ЕСКЕРТПЕ!
Нәтижесінде сіз терминалда орналастырылған портал туралы ақпаратты, сондай-ақ авторизация деректерін алуыңыз керек (0.10.1 нұсқасынан ескі нұсқаларға қатысты). Өзіңіз үшін құпия сөзді қорғауды ұмытпаңыз!
msg="Please login with the username admin and the password <ПАРОЛЬ>"GoPhish орнатуын түсіну
Орнатқаннан кейін қолданбалар каталогында конфигурация файлы (config.json) жасалады. Оны өзгертуге арналған параметрлерді сипаттайық:
Кілт
Мән (әдепкі)
сипаттамасы
admin_server.listen_url
127.0.0.1:3333
GoPhish серверінің IP мекенжайы
admin_server.use_tls
жалған
TLS GoPhish серверіне қосылу үшін пайдаланылады
admin_server.cert_path
example.crt
GoPhish әкімші порталы үшін SSL сертификатына жол
admin_server.key_path
мысал.кілт
Жеке SSL кілтіне жол
phish_server.listen_url
0.0.0.0:80
IP мекенжайы және фишингтік бет орналастырылған порт (әдепкі бойынша ол GoPhish серверінің өзінде 80 портында орналастырылған)
—> Басқару порталына өтіңіз. Біздің жағдайда: https://127.0.0.1:3333
—> Сізге жеткілікті ұзын құпия сөзді қарапайымға немесе керісінше өзгерту сұралады.
Жіберуші профилін жасау
«Профильдерді жіберу» қойындысына өтіп, біздің хабарларымыз келетін пайдаланушы туралы ақпаратты беріңіз:
мұндағы:
Толық аты-жөніңіз
Жіберушінің аты
-дан
Жіберушінің электрондық поштасы
Host
Кіріс хат тыңдалатын пошта серверінің IP мекенжайы.
Пайдаланушы аты
Пошта серверінің пайдаланушы тіркелгісіне кіруі.
пароль
Пошта серверінің пайдаланушы тіркелгісінің құпия сөзі.
Жеткізу сәттілігін қамтамасыз ету үшін сынақ хабарын жіберуге де болады. «Профильді сақтау» түймесін пайдаланып параметрлерді сақтаңыз.
Алушылар тобын құру
Әрі қарай, сіз «тізбекті хаттарды» алушылардың тобын құруыңыз керек. «Пайдаланушы және топтар» → «Жаңа топ» тармағына өтіңіз. Қосудың екі жолы бар: қолмен немесе CSV файлын импорттау.
Екінші әдіс келесі міндетті өрістерді талап етеді:
-
Аты
-
Тек
-
Электрондық пошта
-
Қызметі
Мысал ретінде:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Фишингтік электрондық пошта үлгісін жасау
Біз ойдан шығарылған шабуылдаушы мен ықтимал құрбандарды анықтағаннан кейін хабары бар үлгіні жасауымыз керек. Ол үшін «Электрондық пошта үлгілері» → «Жаңа үлгілер» бөліміне өтіңіз.
Үлгіні құру кезінде техникалық және шығармашылық тәсіл қолданылады, қызметтен жәбірленуші пайдаланушыларға таныс немесе белгілі бір реакция тудыратын хабарлама көрсетілуі керек. Ықтимал опциялар:
Толық аты-жөніңіз
Үлгі атауы
пән
Хат тақырыбы
Мәтін/HTML
Мәтінді немесе HTML кодын енгізуге арналған өріс
Gophish әріптерді импорттауды қолдайды, бірақ біз өзімізді жасаймыз. Мұны істеу үшін біз сценарийді модельдейміз: компания пайдаланушысы корпоративтік электрондық поштасынан құпия сөзді өзгертуді сұрайтын хат алады. Әрі қарай, оның реакциясын талдап, «ұстауымызға» назар аударайық.
Үлгіде кірістірілген айнымалы мәндерді қолданамыз. Толық мәліметтерді жоғарыда табуға болады бөлім .
Алдымен келесі мәтінді жүктеп алайық:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamТиісінше, пайдаланушының аты автоматты түрде енгізіледі (бұрын көрсетілген «Жаңа топ» тармағына сәйкес) және оның пошталық мекенжайы көрсетіледі.
Әрі қарай, фишинг ресурсымызға сілтеме беруіміз керек. Ол үшін мәтіндегі «мұнда» сөзін бөлектеп, басқару тақтасындағы «Сілтеме» опциясын таңдаңыз.
URL мекенжайын кірістірілген {{.URL}} айнымалысына орнатамыз, оны кейінірек толтырамыз. Ол фишингтік электрондық пошта мәтініне автоматты түрде ендірілген болады.
Үлгіні сақтамас бұрын, «Бақылау кескінін қосу» опциясын қосуды ұмытпаңыз. Бұл пайдаланушының электрондық поштаны ашқанын бақылайтын 1x1 пиксельдік медиа элементін қосады.
Сонымен, көп нәрсе қалмады, бірақ алдымен Gophish порталына кіргеннен кейін қажетті қадамдарды қорытындылаймыз:
-
Жіберуші профилін жасау;
-
Пайдаланушыларды көрсететін тарату тобын жасаңыз;
-
Фишингтік электрондық пошта үлгісін жасаңыз.
Келісемін, орнату көп уақытты қажет етпеді және біз науқанымызды бастауға дайынбыз. Фишинг бетін қосу ғана қалады.
Фишинг бетін жасау
«Қосылу беттері» қойындысына өтіңіз.
Бізге нысанның атын көрсету сұралады. Бастапқы сайтты импорттауға болады. Біздің мысалда мен пошта серверінің жұмыс веб-порталын көрсетуге тырыстым. Тиісінше, ол HTML коды ретінде импортталды (толық болмаса да). Төменде пайдаланушы енгізуін түсірудің қызықты нұсқалары берілген:
-
Жіберілген деректерді түсіру. Көрсетілген сайт бетінде әртүрлі енгізу пішіндері болса, онда барлық деректер жазылады.
-
Capture Passwords – енгізілген құпия сөздерді жазып алу. Деректер GoPhish дерекқорына шифрлаусыз жазылады.
Сонымен қатар, біз тіркелгі деректерін енгізгеннен кейін пайдаланушыны көрсетілген бетке қайта бағыттайтын «Қайта бағыттау» опциясын пайдалана аламыз. Еске сала кетейін, біз пайдаланушыдан корпоративтік электрондық поштаның құпия сөзін өзгерту сұралатын сценарийді орнатқан болатынбыз. Ол үшін оған жалған поштаны авторизациялау порталының беті ұсынылады, содан кейін пайдаланушы кез келген қолжетімді компания ресурсына жіберілуі мүмкін.
Аяқталған бетті сақтап, «Жаңа науқан» бөліміне өтуді ұмытпаңыз.
GoPhish балық аулауды іске қосу
Біз барлық қажетті ақпаратты бердік. «Жаңа науқан» қойындысында жаңа науқан жасаңыз.
Науқанды іске қосу
мұндағы:
Толық аты-жөніңіз
Науқан атауы
Электрондық пошта үлгісі
Хабарлама үлгісі
Ұшу беті
Фишинг беті
URL
GoPhish серверіңіздің IP мекенжайы (жәбірленушінің хостымен желіге қол жеткізу мүмкіндігі болуы керек)
Іске қосу күні
Науқанның басталу күні
Электрондық хаттарды жіберу
Науқанның аяқталу күні (хабарлама біркелкі таратылады)
Профиль жіберілуде
Жіберуші профилі
топтар
Пошта алушы тобы
Іске қосылғаннан кейін біз әрқашан статистикамен таныса аламыз, олар мыналарды көрсетеді: жіберілген хабарламалар, ашылған хабарламалар, сілтемелерді басу, спамға жіберілген деректер.
Статистика бойынша біз 1 хабарлама жіберілгенін көреміз, поштаны алушы тарапынан тексерейік:
Шынында да, жәбірленуші корпоративтік тіркелгі құпия сөзін өзгерту үшін сілтемеге өтуді сұрайтын фишингтік электрондық хатты сәтті алды. Біз сұралған әрекеттерді орындаймыз, біз Landing Pages-ке жіберілеміз, статистика ше?
Нәтижесінде біздің пайдаланушы фишингтік сілтемені басқан, онда ол өзінің тіркелгі ақпаратын қалдыруы мүмкін.
Автордың ескертуі: сынақ макетін пайдалану себебінен деректерді енгізу процесі жазылмады, бірақ мұндай опция бар. Дегенмен, мазмұн шифрланбаған және GoPhish дерекқорында сақталады, мұны есте сақтаңыз.
Орнына жасасу
Бүгін біз қызметкерлерді фишингтік шабуылдардан қорғау және оларда IT сауаттылығын дамыту мақсатында оларды автоматтандырылған оқытуды өткізудің өзекті тақырыбын қозғадық. Gophish қолжетімді шешім ретінде қолданылды, ол орналастыру уақыты мен нәтижесі бойынша жақсы нәтиже көрсетті. Бұл қолжетімді құралдың көмегімен сіз қызметкерлеріңізді тексеріп, олардың мінез-құлқы туралы есептерді жасай аласыз. Егер сізді осы өнім қызықтырса, біз оны орналастыруға және қызметкерлеріңізді тексеруге көмектесеміз ([электрондық пошта қорғалған]).
Дегенмен, біз бір шешімді қарастырумен тоқтап қалмаймыз және циклді жалғастыруды жоспарлап отырмыз, онда оқыту процесін автоматтандыруға және қызметкерлердің қауіпсіздігін бақылауға арналған Enterprise шешімдері туралы айтатын боламыз. Бізбен бірге болыңыз және қырағы болыңыз!
Ақпарат көзі: www.habr.com