Бүгүнкү күндө тармактын администратору же маалыматтык коопсуздук боюнча инженер ишкана тармагынын периметрин ар кандай коркунучтардан коргоого, окуялардын алдын алуу жана мониторинг жүргүзүү үчүн жаңы системаларды өздөштүрүү үчүн көп убакытты жана күч-аракетти жумшайт, бирок бул дагы толук коопсуздукту кепилдей албайт. Коомдук инженерия чабуулчулар тарабынан активдүү колдонулат жана олуттуу кесепеттерге алып келиши мүмкүн.
“Кызматкерлердин маалыматтык коопсуздук сабаттуулугу боюнча тест уюштурса жакшы болмок” деген ойго канча жолу кабылдыңыз? Тилекке каршы, ойлор жумуш күнүндө көп сандагы тапшырмалар же чектелген убакыт түрүндө түшүнбөстүктүн дубалына кирип кетет. Биз сизге персоналды даярдоону автоматташтыруу жаатындагы заманбап өнүмдөр жана технологиялар жөнүндө айтып берүүнү пландаштырып жатабыз, ал пилоттук же ишке ашыруу үчүн узак окууну талап кылбайт, бирок бардыгы жөнүндө.
Теориялык негиз
Бүгүнкү күндө зыяндуу файлдардын 80%дан ашыгы электрондук почта аркылуу таратылат (маалыматтар Check Point адистеринин Intelligence Reports кызматы аркылуу өткөн жылдагы отчетторунан алынган).
Зыяндуу файлдарды таратуу үчүн чабуул вектору боюнча акыркы 30 күн үчүн отчет (Россия) - Check Point
Бул электрондук почта билдирүүлөрүндөгү мазмун чабуулчулар тарабынан эксплуатацияга өтө алсыз экенин көрсөтүп турат. Тиркемелердеги эң популярдуу зыяндуу файл форматтарын (EXE, RTF, DOC) карап чыга турган болсок, алар, эреже катары, коддун автоматтык түрдө аткарылышынын элементтерин (скрипттер, макростор) камтыганын белгилей кетүү керек.
Кабыл алынган зыяндуу билдирүүлөрдөгү файл форматтары боюнча жылдык отчет - Check Point
Бул чабуул вектору менен кантип күрөшүү керек? Почтаны текшерүү коопсуздук куралдарын колдонууну камтыйт:
-
Antivirus — коркунучтарды аныктоо.
-
Emulation - обочолонгон чөйрөдө тиркемелер ачылуучу кумдук.
-
Мазмунду маалымдоо — документтерден активдүү элементтерди алуу. Колдонуучу тазаланган документти алат (көбүнчө PDF форматында).
-
AntiSpam — репутация үчүн алуучу/жөнөтүүчү доменди текшерүү.
Жана, теориялык жактан алганда, бул жетиштүү, бирок компания үчүн дагы бир баалуу ресурс бар - кызматкерлердин корпоративдик жана жеке маалыматтары. Акыркы жылдары, интернет алдамчылык төмөнкү түрүнүн популярдуулугу жигердүү өсүп жатат:
көргөзүү (англисче фишинг, балык уулоодон - балык уулоо, балык уулоо) - интернет-алдамчылыктын бир түрү. Анын максаты - колдонуучунун идентификациялык маалыматтарын алуу. Бул сырсөздөрдү, кредиттик картанын номерлерин, банк эсептерин жана башка купуя маалыматтарды уурдоону камтыйт.
Чабуулчулар фишинг чабуулдарынын ыкмаларын өркүндөтүп, популярдуу сайттардан DNS суроо-талаптарын кайра багыттоодо жана электрондук каттарды жөнөтүү үчүн социалдык инженерияны колдонуу менен бүтүндөй кампанияларды баштоодо.
Ошентип, корпоративдик электрондук почтаңызды фишингден коргоо үчүн эки ыкманы колдонуу сунушталат жана аларды чогуу колдонуу эң жакшы натыйжаларга алып келет:
-
Техникалык коргоо куралдары. Жогоруда айтылгандай, ар кандай технологиялар мыйзамдуу почтаны текшерүү жана жөнөтүү үчүн колдонулат.
-
Кадрларды теориялык жактан даярдоо. Ал потенциалдуу жабырлануучуларды аныктоо үчүн кызматкерлерди комплекстүү тестирлөөдөн турат. Андан кийин кайра даярдоодон өтүп, статистика тынымсыз жазылып турат.
Ишенбе, текшербе
Бүгүн биз фишингдик чабуулдардын алдын алуунун экинчи ыкмасы, тактап айтканда корпоративдик жана жеке маалыматтардын коопсуздугунун жалпы деңгээлин жогорулатуу максатында кадрларды автоматташтырылган окутуу жөнүндө сүйлөшөбүз. Эмне үчүн бул мынчалык коркунучтуу болушу мүмкүн?
Коомдук инженерия — белгилүү бир аракеттерди жасоо же купуя маалыматты ачыкка чыгаруу максатында адамдарды психологиялык манипуляциялоо (маалыматтык коопсуздукка карата).
Фишингдик чабуулду жайылтуу сценарийинин диаграммасы
Келгиле, фишинг кампаниясынын сапарын кыскача баяндаган кызыктуу блок-схеманы карап көрөлү. Анын ар кандай этаптары бар:
-
Алгачкы маалыматтарды чогултуу.
21-кылымда эч кандай социалдык тармакта же ар кандай тематикалык форумдарда катталбаган адамды табуу кыйын. Албетте, көбүбүз өзүбүз жөнүндө толук маалымат калтырабыз: учурдагы жумуш орду, кесиптештер үчүн топ, телефон, почта ж. Бул адамдын кызыкчылыктары жөнүндө жекелештирилген маалыматты кошуңуз жана фишинг үлгүсүн түзүү үчүн маалыматыңыз бар. Мындай маалыматы бар адамдарды таба албасак да, ар дайым компаниянын веб-сайты бар, анда биз кызыккан бардык маалыматты (домендик электрондук почта, байланыштар, байланыштар) таба алабыз.
-
Акциянын башталышы.
Сизде трамплин орнотулгандан кийин, өзүңүздүн максаттуу фишинг кампанияңызды баштоо үчүн акысыз же акы төлөнүүчү куралдарды колдоно аласыз. Почта жөнөтүү процессинде сиз статистиканы топтойсуз: жеткирилген почта, ачылган почта, басылган шилтемелер, киргизилген эсептик маалыматтар ж.б.
Базардагы продуктылар
Фишинг чабуулчулар тарабынан да, компаниянын маалыматтык коопсуздук кызматкерлери тарабынан да кызматкерлердин жүрүм-турумуна үзгүлтүксүз аудит жүргүзүү үчүн колдонулушу мүмкүн. Компаниянын кызматкерлери үчүн автоматташтырылган окутуу системасы үчүн акысыз жана коммерциялык чечимдер рыногу бизге эмнени сунуштайт:
-
кызматкерлериңиздин IT сабаттуулугун текшерүү үчүн фишинг кампаниясын жайылтууга мүмкүндүк берген ачык булак долбоору. Мен артыкчылыктарды жайылтуунун жеңилдиги жана системанын минималдуу талаптары деп эсептейт элем. Кемчиликтер — почталык жөнөтүүлөрдүн даяр шаблондорунун жоктугу, кызматкерлер үчүн тесттердин жана окуу материалдарынын жоктугу.
-
— персоналды сыноо үчүн жеткиликтүү продуктылардын көп саны бар сайт.
-
— кызматкерлерди тестирлөөнүн жана окутуунун автоматташтырылган системасы. 10дон 1000ден ашык кызматкерлерди колдогон продукциянын ар кандай версиялары бар. Окуу курстары теориялык жана практикалык тапшырмаларды камтыйт, фишинг кампаниясынан кийин алынган статистиканын негизинде муктаждыктарды аныктоого болот. Чечим сынамык колдонуу мүмкүнчүлүгү менен коммерциялык болуп саналат.
-
— автоматташтырылган окутуу жана коопсуздук мониторинг системасы. Коммерциялык продукт мезгил-мезгили менен окутуу чабуулдарын, кызматкерлерди окутуу ж.б. Өнүмдүн демо версиясы катары кампания сунушталат, ал шаблондорду жайылтууну жана үч окуу чабуулун жүргүзүүнү камтыйт.
Жогорудагы чечимдер автоматташтырылган кадрларды даярдоо рыногунда жеткиликтүү продукциянын бир бөлүгү гана. Албетте, ар биринин өзүнүн артыкчылыктары жана кемчиликтери бар. Бүгүн биз менен таанышабыз , фишинг чабуулун окшоштуруңуз жана жеткиликтүү опцияларды изилдеңиз.
GoPhish
Ошентип, машыгууга убакыт келди. GoPhish кокустан тандалган эмес: бул төмөнкү өзгөчөлүктөргө ээ колдонуучуга ыңгайлуу курал:
-
Жөнөкөйлөтүлгөн орнотуу жана ишке киргизүү.
-
REST API колдоосу. Сурамдарды түзүүгө мүмкүндүк берет жана автоматташтырылган сценарийлерди колдонуңуз.
-
Ыңгайлуу графикалык башкаруу интерфейси.
-
Кайчылаш платформа.
Өнүктүрүү тобу эң сонун даярдап койду GoPhishти жайылтуу жана конфигурациялоо боюнча. Чындыгында, сиз эмне кылышыңыз керек, бардык нерсеге баруу , тиешелүү ОС үчүн ZIP архивин жүктөп алыңыз, ички бинардык файлды иштетиңиз, андан кийин курал орнотулат.
МААНИЛҮҮ ЭСКЕРТҮҮ!
Натыйжада, сиз терминалга орнотулган портал жөнүндө маалыматты, ошондой эле авторизациялык маалыматтарды (0.10.1 версиясынан эски версияларга тиешелүү) алышыңыз керек. Өзүңүз үчүн сырсөздү коргоону унутпаңыз!
msg="Please login with the username admin and the password <ПАРОЛЬ>"GoPhish орнотууну түшүнүү
Орнотуудан кийин, колдонмо каталогунда конфигурация файлы (config.json) түзүлөт. Аны өзгөртүү үчүн параметрлерди сүрөттөп көрөлү:
ачкыч
Маани (демейки)
баяндоо
admin_server.listen_url
127.0.0.1:3333
GoPhish серверинин IP дареги
admin_server.use_tls
жалган
TLS GoPhish серверине туташуу үчүн колдонулат
admin_server.cert_path
example.crt
GoPhish администратор порталы үчүн SSL сертификатына жол
admin_server.key_path
мисал.ачкыч
Жеке SSL ачкычына жол
phish_server.listen_url
0.0.0.0:80
IP дареги жана фишинг баракчасы жайгаштырылган порт (демейки боюнча ал GoPhish серверинин өзүндө 80-портто жайгаштырылат)
—> Башкаруу порталына өтүңүз. Биздин учурда: https://127.0.0.1:3333
—> Сизден кыйла узун сырсөздү жөнөкөйгө же тескерисинче өзгөртүү суралат.
Жөнөтүүчү профилин түзүү
"Профильдерди жөнөтүү" өтмөгүнө өтүп, биздин кат жөнөтүлгөн колдонуучу жөнүндө маалымат бериңиз:
мында:
ысым
Жөнөтүүчү аты
From
Жөнөтүүчүнүн электрондук почтасы
кожоюн
Кирүүчү кат уга турган почта серверинин IP дареги.
колдонуучунун аты
Почта серверинин колдонуучу каттоо эсебине кирүү.
Купуя сөз
Почта серверинин колдонуучу аккаунтунун сырсөзү.
Жеткирүү ийгиликтүү болушу үчүн, сиз дагы сыноо билдирүүсүн жөнөтө аласыз. "Профильди сактоо" баскычын колдонуп, орнотууларды сактаңыз.
алуучулардын тобун түзүү
Андан кийин, сиз "чынжыр тамгалар" алуучулардын тобун түзүү керек. "Колдонуучу жана топтор" → "Жаңы топко" өтүңүз. Кошуунун эки жолу бар: кол менен же CSV файлын импорттоо.
Экинчи ыкма төмөнкү милдеттүү талааларды талап кылат:
-
Биринчи аты
-
Акыркы Аты
-
электрондук почта
-
абал
Мисал катары:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Фишинг электрондук почта үлгүсүн түзүү
Биз ойдон чыгарылган чабуулчуну жана мүмкүн болуучу курмандыктарды аныктагандан кийин, биз билдирүү менен шаблон түзүшүбүз керек. Бул үчүн, "Электрондук почта калыптары" → "Жаңы калыптар" бөлүмүнө өтүңүз.
Шаблонду түзүүдө техникалык жана креативдүү ыкма колдонулат, ал жабырлануучуга тааныш же аларда белгилүү бир реакцияны пайда кыла турган билдирүү көрсөтүлүшү керек; Мүмкүн болгон варианттар:
ысым
Үлгү аты
тема
Кат темасы
Текст/HTML
Текст же HTML кодун киргизүү талаасы
Gophish тамгаларды импорттоону колдойт, бирок биз өзүбүздүн тамгаларды түзөбүз. Бул үчүн биз сценарийди имитациялайбыз: компаниянын колдонуучусу корпоративдик электрондук почтасынан сырсөздү өзгөртүүнү суранган кат алат. Андан кийин, анын реакциясын талдап, биздин "кармоону" карап көрөлү.
Биз калыпка орнотулган өзгөрмөлөрдү колдонобуз. Көбүрөөк маалымат жогоруда тапса болот бөлүмүндө .
Биринчиден, төмөнкү текстти жүктөйбүз:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamДемек, колдонуучунун аты автоматтык түрдө киргизилет (мурда көрсөтүлгөн "Жаңы топ" пунктуна ылайык) жана анын почта дареги көрсөтүлөт.
Андан кийин, биз фишинг ресурсубузга шилтеме беришибиз керек. Бул үчүн, тексттеги "бул жерде" деген сөздү бөлүп, башкаруу панелинен "Шилтеме" опциясын тандаңыз.
Биз URL дарегин {{.URL}} орнотулган өзгөрмөсүнө коёбуз, аны кийинчерээк толтурабыз. Ал фишинг электрондук почтасынын текстине автоматтык түрдө киргизилет.
Шаблонду сактоодон мурун, "Көзөмөл сүрөтүн кошуу" опциясын иштетүүнү унутпаңыз. Бул колдонуучу электрондук почтаны ачканына көз салган 1x1 пикселдик медиа элементти кошот.
Ошентип, көп нерсе калган жок, бирок адегенде Gophish порталына киргенден кийин талап кылынган кадамдарды жалпылайбыз:
-
Жөнөтүүчү профилин түзүү;
-
Сиз колдонуучуларды көрсөткөн бөлүштүрүү тобун түзүү;
-
Фишинг электрондук почтасынын шаблонун түзүңүз.
Макул, орнотуу көп убакытты талап кылган жок жана биз кампаниябызды баштоого дээрлик даярбыз. Фишинг барагын кошуу гана калды.
Фишинг барагын түзүү
"Ачуу баракчалары" өтмөгүнө өтүңүз.
Бизден объекттин атын көрсөтүү сунушталат. Бул сайтты импорттоого болот. Биздин мисалда мен почта серверинин жумушчу веб-порталын көрсөтүүгө аракет кылдым. Демек, ал HTML коду катары импорттолгон (толугу менен болбосо да). Кийинки колдонуучунун киргизгенин тартуу үчүн кызыктуу варианттар:
-
Тапшырылган маалыматтарды басып алуу. Көрсөтүлгөн сайт бетинде ар кандай киргизүү формалары бар болсо, анда бардык маалыматтар жазылат.
-
Capture Passwords - киргизилген сырсөздөрдү басып алуу. Маалыматтар GoPhish маалымат базасына шифрлөөсүз жазылат.
Кошумча, биз эсептик дайындарды киргизгенден кийин колдонуучуну көрсөтүлгөн баракка багыттай турган "Багыттоо" опциясын колдоно алабыз. Эске сала кетейин, биз колдонуучуга корпоративдик электрондук почтанын сырсөзүн өзгөртүү сунушталган сценарийди койгонбуз. Бул үчүн, ага жасалма почта авторизациялоо порталынын бети сунушталат, андан кийин колдонуучуну каалаган компаниянын ресурсуна жөнөтсө болот.
Аякталган баракты сактап, "Жаңы өнөктүк" бөлүмүнө өтүүнү унутпаңыз.
GoPhish балык уулоону ишке киргизүү
Биз бардык керектүү маалыматтарды бердик. "Жаңы өнөктүк" өтмөгүндө жаңы кампания түзүңүз.
Өткөрүү
мында:
ысым
үгүт аты
Электрондук почтанын шаблону
Билдирүү үлгүсү
Landing Page
Фишинг барагы
URL
GoPhish сервериңиздин IP дареги (жабырлануучунун хосту менен тармакка жеткиликтүү болушу керек)
жүргүзүү Date
Кампаниянын башталышы
Электрондук каттарды жөнөтүү
Кампаниянын аяктоо датасы (каттоо бирдей бөлүштүрүлөт)
Профиль жөнөтүлүүдө
Жөнөтүүчү профили
топтор
Кат алуучулардын тобу
Башталгандан кийин, биз ар дайым статистика менен тааныша алабыз, алар: жөнөтүлгөн билдирүүлөр, ачылган билдирүүлөр, шилтемелерди чыкылдатуулар, спамга которулган маалыматтар.
Статистикалык маалыматтардан биз 1 билдирүү жөнөтүлгөнүн көрүп жатабыз, келгиле, почтаны алуучу тараптан текшерели:
Чынында эле, жабырлануучуга корпоративдик аккаунтунун сырсөзүн өзгөртүү үчүн шилтеме аркылуу өтүүнү суранган фишинг электрондук катын ийгиликтүү алган. Биз талап кылынган иш-аракеттерди аткарып жатабыз, биз Landing Pagesке жөнөтүлүп жатабыз, статистика жөнүндө эмне айтууга болот?
Натыйжада, биздин колдонуучу фишинг шилтемесин басып, анда ал өзүнүн аккаунтунун маалыматын калтырышы мүмкүн.
Автордун эскертүүсү: тесттик макетти колдонуудан улам маалыматтарды киргизүү процесси жазылган эмес, бирок мындай вариант бар. Бирок, мазмун шифрленген эмес жана GoPhish маалымат базасында сакталат, муну эстен чыгарбаңыз.
Ордуна корутундусу
Бүгүн биз кызматкерлерди фишингдик чабуулдардан коргоо жана аларда IT сабаттуулугун өнүктүрүү үчүн автоматташтырылган тренингдерди өткөрүү боюнча актуалдуу темага токтолдук. Gophish жеткиликтүү чечим катары жайгаштырылды, ал жайгаштыруу убактысы жана натыйжасы боюнча жакшы натыйжаларды көрсөттү. Бул жеткиликтүү курал менен сиз кызматкерлериңизди текшерип, алардын жүрүм-туруму боюнча отчетторду түзө аласыз. Эгерде сизди бул продукт кызыктырса, биз аны жайылтууга жана кызматкерлериңизди текшерүүгө жардам беребиз ([электрондук почта корголгон]).
Бирок, биз бир чечимди карап чыгуу менен токтоп калбайбыз жана циклди улантууну пландап жатабыз, анда биз окуу процессин автоматташтыруу жана кызматкерлердин коопсуздугун көзөмөлдөө үчүн Enterprise чечимдери жөнүндө сүйлөшөбүз. Биз менен болуңуз жана сак болуңуз!
Source: www.habr.com