ProHoster > Blog > Administratioun > 1. Training Benotzer an der Grondlage vun Informatiounen Sécherheet. Kampf géint Phishing
1. Training Benotzer an der Grondlage vun Informatiounen Sécherheet. Kampf géint Phishing
Haut verbréngt en Netzwierkadministrator oder Informatiounssécherheetsingenieur vill Zäit an Effort fir de Perimeter vun engem Enterprise-Netzwierk vu verschiddene Bedrohungen ze schützen, nei Systemer ze beherrschen fir Eventer ze vermeiden an ze iwwerwaachen, awer och dëst garantéiert keng komplett Sécherheet. Sozial Ingenieur gëtt aktiv vun Ugräifer benotzt a kann sérieux Konsequenzen hunn.
Wéi oft hutt Dir Iech gefaangen ze denken: "Et wier flott fir d'Personal en Test iwwer Informatiounssécherheets Alphabetiséierung ze organiséieren"? Leider lafen Gedanken an enger Mauer vu Mëssverständnis a Form vun enger grousser Zuel vun Aufgaben oder limitéierter Zäit am Aarbechtsdag. Mir plangen Iech iwwer modern Produkter an Technologien am Bereich vun der Automatisatioun vun der Personalausbildung ze soen, déi keng laang Ausbildung fir Piloten oder Ëmsetzung erfuerderen, awer iwwer alles an der Rei.
Theoretesch Fundament
Haut gi méi wéi 80% vu béiswëlleg Dateie per E-Mail verdeelt (Daten aus Berichter vu Check Point Spezialisten iwwer d'lescht Joer mat dem Intelligence Reports Service geholl).
Bericht fir déi lescht 30 Deeg iwwer den Attackvektor fir d'Verdeelung vu béiswëlleg Dateien (Russland) - Check Point
Dëst hindeit datt den Inhalt an E-Mail Messagen zimlech vulnérabel ass fir Ausbeutung vun Ugräifer. Wa mir déi populärste béiswëlleg Dateiformate an Uschlëss (EXE, RTF, DOC) betruechten, ass et derwäert ze notéieren datt se normalerweis automatesch Elementer vun der Code Ausféierung enthalen (Skripten, Makroen).
Joresbericht iwwer Dateiformater a kritt béiswëlleg Messagen - Check Point
Wéi mat dësem Attack Vecteure ze këmmeren? E-Mail iwwerpréiwen beinhalt d'Benotzung vu Sécherheetsinstrumenter:
Antivirus - Ënnerschrëft Detektioun vu Geforen.
Emulatioun - eng Sandkëscht mat där Uschlëss an engem isoléierten Ëmfeld opgemaach ginn.
Inhalt Bewosstsinn - Extrait aktiv Elementer aus Dokumenter. De Benotzer kritt e gebotzt Dokument (normalerweis am PDF-Format).
AntiSpam - iwwerpréift den Empfänger / Sender Domain fir Ruff.
An, an der Theorie, ass dat genuch, mä et ass eng aner gläich wäertvoll Ressource fir d'Firma - Entreprisen a perséinlech Donnéeën vun Mataarbechter. An de leschte Joeren ass d'Popularitéit vun der folgender Zort Internet Bedruch aktiv gewuess:
Phishing (Englesch Phishing, vu Fëscherei - Fëscherei, Fëscherei) - eng Zort Internetbedruch. Säin Zweck ass d'Benotzer Identifikatiounsdaten ze kréien. Dëst beinhalt den Vol vu Passwierder, Kreditkaartnummeren, Bankkonten an aner sensibel Informatioun.
Ugräifer verbesseren Methode vu Phishing-Attacke, viruleeden DNS-Ufroe vu populäre Site, a lancéiere ganz Kampagnen mat sozialen Ingenieuren fir E-Mailen ze schécken.
Also, fir Är Firmen-E-Mail vu Phishing ze schützen, ass et recommandéiert zwou Approche ze benotzen, an hir kombinéiert Notzung féiert zu de beschten Resultater:
Technesch Schutz Tools. Wéi virdru scho gesot, gi verschidde Technologien benotzt fir nëmmen legitim Mail ze kontrolléieren an weiderzebréngen.
Theoretesch Ausbildung vum Personal. Et besteet aus ëmfaassend Tester vu Personal fir potenziell Affer z'identifizéieren. Da gi se nei ausgebilt an d'Statistike gi permanent opgeholl.
Vertrau net a kontrolléiert
Haut schwätze mir iwwer déi zweet Approche fir Phishingattacken ze vermeiden, nämlech automatiséiert Personalausbildung fir de Gesamtniveau vun der Sécherheet vu Firmen- a perséinlechen Donnéeën ze erhéijen. Firwat kéint dat esou geféierlech sinn?
sozial Ingenieur — psychologesch Manipulatioun vu Leit fir bestëmmten Handlungen auszeféieren oder vertraulech Informatioun ze verëffentlechen (a Bezuch op Informatiounssécherheet).
Diagramm vun engem typesche Phishing Attack Deployment Szenario
Loosst eis e lëschtegen Flowchart kucken, dee kuerz d'Rees vun enger Phishing Kampagne beschreift. Et huet verschidden Etappen:
Sammlung vun primären Donnéeën.
Am 21. Joerhonnert ass et schwéier eng Persoun ze fannen déi net op engem sozialen Netzwierk oder op verschiddenen thematesche Foren registréiert ass. Natierlech, vill vun eis verloossen detailléiert Informatiounen iwwert eis selwer: Plaz vun der aktueller Aarbecht, Grupp fir Kollegen, Telefon, Mail, etc. Füügt dës personaliséiert Informatioun iwwer d'Interesse vun enger Persoun an Dir hutt d'Donnéeën fir eng Phishing-Schabloun ze bilden. Och wa mir Leit mat esou Informatioune net fanne konnten, gëtt et ëmmer eng Firma Websäit wou mir all d'Informatioune fannen déi mir interesséiert (Domain E-Mail, Kontakter, Verbindungen).
Start vun der Campagne.
Wann Dir e Sprangbriet op der Plaz hutt, kënnt Dir gratis oder bezuelte Tools benotze fir Är eege geziilte Phishing Kampagne ze starten. Wärend dem Mailingprozess cumuléiert Dir Statistiken: Mail geliwwert, Mail opgemaach, Links geklickt, Umeldungsinformatiounen aginn, etc.
Produkter um Maart
Phishing ka vu béiden Ugräifer a Firmeninformatiounssécherheetsbeamten benotzt ginn fir e kontinuéierleche Audit vum Verhalen vun de Mataarbechter ze maachen. Wat bitt de Maart vu gratis a kommerziellen Léisunge fir den automatiséierte Trainingssystem fir Firmebeamten eis:
GoPhish ass en Open Source Projet deen Iech erlaabt eng Phishing Kampagne z'installéieren fir d'IT Alphabetiséierung vun Äre Mataarbechter ze kontrolléieren. Ech géif d'Virdeeler als Einfachheet vun der Détachement a minimale Systemfuerderunge betruechten. D'Nodeeler sinn de Mangel u fäerdege Mailing Templates, de Mangel un Tester an Trainingsmaterial fir Personal.
KnowBe4 - e Site mat enger grousser Zuel vu verfügbare Produkter fir Testpersonal.
Phishman - automatiséiert System fir Testen an Training vun Mataarbechter. Huet verschidde Versioune vu Produkter déi vun 10 bis méi wéi 1000 Mataarbechter ënnerstëtzen. D'Formatiounscoursen enthalen Theorie a praktesch Aufgaben et ass méiglech Bedierfnesser ze identifizéieren op Basis vun de Statistiken, déi no enger Phishing-Campagne kritt goufen. D'Léisung ass kommerziell mat der Méiglechkeet vu Probenotzung.
Antiphishing - automatiséiert Training a Sécherheet Iwwerwachung System. De kommerziellen Produkt bitt periodesch Trainingsattacken, Mataarbechterausbildung, asw. Eng Kampagne gëtt als Demo-Versioun vum Produkt ugebueden, wat d'Deployment vun Templates enthält an dräi Trainingsattacken ausféieren.
Déi uewe genannte Léisunge sinn nëmmen en Deel vun de verfügbare Produkter um automatiséierte Personal Training Maart. Natierlech huet all seng eegen Virdeeler an Nodeeler. Haut wäerte mir Bekanntschaft mat GoPhish, simuléiert e Phishingattack, an entdeckt déi verfügbar Optiounen.
GoPhish
Also, et ass Zäit ze üben. GoPhish gouf net zoufälleg gewielt: et ass e userfrëndlecht Tool mat de folgende Funktiounen:
Vereinfacht Installatioun an Startup.
REST API Ënnerstëtzung. Erlaabt Iech Ufroen ze kreéieren aus Dokumentatioun an applizéiert automatiséiert Scripten.
Confortabel grafesch Kontroll Interface.
Kräiz-Plattform.
D'Entwécklungsteam huet en exzellente virbereet guide iwwer d'Deployéieren an d'Konfiguratioun vu GoPhish. Tatsächlech, alles wat Dir maache musst ass ze goen repository, luet den ZIP-Archiv fir dat entspriechend OS erof, fuert déi intern binär Datei aus, duerno gëtt de Tool installéiert.
WICHTEG NOTÉIERT!
Als Resultat sollt Dir am Terminal Informatioun iwwer den ofgebauten Portal kréien, souwéi Autorisatiounsdaten (relevant fir Versioune méi al wéi Versioun 0.10.1). Vergiesst net e Passwuert fir Iech selwer ze sécheren!
msg="Please login with the username admin and the password <ПАРОЛЬ>"
De GoPhish Setup verstoen
No der Installatioun gëtt eng Konfiguratiounsdatei (config.json) am Applikatiounsverzeechnes erstallt. Loosst eis d'Parameteren beschreiwen fir et z'änneren:
Schlëssel
Wäert (Standard)
Beschreiwung
admin_server.listen_url
127.0.0.1:3333
GoPhish Server IP Adress
admin_server.use_tls
falsch
Ass TLS benotzt fir mam GoPhish Server ze verbannen
admin_server.cert_path
Beispill.crt
Wee op SSL Zertifikat fir GoPhish Admin Portal
admin_server.key_path
Beispill.Schlëssel
Wee zum private SSL Schlëssel
phish_server.listen_url
0.0.0.0:80
IP Adress an Hafen wou d'Phishing Säit gehost gëtt (par défaut gëtt se um GoPhish Server selwer um Port 80 gehost)
—> Gitt op de Managementportal. An eisem Fall: https://127.0.0.1:3333
—> Dir wäert gefrot ginn, e zimlech laangt Passwuert op e méi einfacht ze änneren oder ëmgedréint.
Erstellt e Senderprofil
Gitt op de Tab "Sending Profiler" a gitt Informatioun iwwer de Benotzer aus deem eis Mailing hierkënnt:
Wou:
Numm
Sender Numm
aus
E-Mail vum Sender
Provider
IP Adress vum E-Mail-Server, aus deem déi erakommen E-Mail gelauschtert gëtt.
Benotzernumm
E-Mail Server Benotzerkont Login.
Passwuert
Mail Server Benotzerkont Passwuert.
Dir kënnt och en Test Message schécken fir Liwwerung Erfolleg ze garantéieren. Späichert d'Astellunge mat der "Profil späicheren" Knäppchen.
Schafen eng Grupp vun Destinatairen
Als nächst sollt Dir eng Grupp vu "Kettenbréiwer" Empfänger bilden. Gitt op "Benotzer & Gruppen" → "Neie Grupp". Et ginn zwou Méiglechkeeten fir ze addéieren: manuell oder eng CSV Datei importéieren.
Déi zweet Method erfuerdert déi folgend erfuerderlech Felder:
Wann mir den imaginären Ugräifer a potenziellen Affer identifizéiert hunn, musse mir eng Schabloun mat engem Message erstellen. Fir dëst ze maachen, gitt op d'Sektioun "E-Mail Templates" → "New Templates".
Wann Dir eng Schabloun formt, gëtt eng technesch a kreativ Approche benotzt e Message vum Service deen den Affer Benotzer vertraut ass oder hinnen eng gewësse Reaktioun verursaacht; Méiglech Optiounen:
Numm
Schabloun Numm
Sujet
Bréif Sujet
Text / HTML
Feld fir Text oder HTML Code anzeginn
Gophish ënnerstëtzt Bréiwer importéieren, awer mir erstellen eis eegen. Fir dëst ze maachen, simuléiere mir e Szenario: e Firmebenotzer kritt e Bréif deen hie freet d'Passwuert vu senger Firmen-E-Mail z'änneren. Als nächst, loosst eis seng Reaktioun analyséieren a kucken eis "Fang".
Mir wäerten agebaute Variablen an der Schabloun benotzen. Méi Detailer fannt Dir hei uewen guide Sektioun Schabloun Referenz.
Als éischt, loosst eis de folgenden Text lueden:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
Deementspriechend gëtt den Numm vum Benotzer automatesch aginn (no der virdru spezifizéierter "Neie Grupp" Element) a seng Postadress gëtt uginn.
Als nächst sollte mir e Link op eis Phishing-Ressource ubidden. Fir dëst ze maachen, markéiert d'Wuert "hei" am Text a wielt d'Optioun "Link" op der Kontrollpanel.
Mir setzen d'URL op déi agebauter Variabel {{.URL}}, déi mir spéider ausfëllen. Et gëtt automatesch an den Text vun der Phishing-E-Mail agebonnen.
Ier Dir d'Schabloun späichert, vergiesst net d'Optioun "Füügt Tracking Image" z'aktivéieren. Dëst wäert en 1x1 Pixel Medienelement derbäi ginn, dat verfollegt ob de Benotzer d'E-Mail opgemaach huet.
Also, et ass net vill iwwreg, awer als éischt resuméiere mir déi erfuerderlech Schrëtt nodeems Dir op de Gophish Portal ageloggt ass:
Erstellt e Senderprofil;
Schafen eng Verdeelung Grupp wou Dir Benotzer uginn;
Erstellt eng Phishing E-Mail Schabloun.
Averstanen, de Setup huet net vill Zäit gedauert a mir si bal prett fir eis Campagne ze lancéieren. Alles wat bleift ass eng Phishing Säit ze addéieren.
Erstellt eng Phishing Säit
Gitt op de Tab "Landing Pages".
Mir ginn opgefuerdert den Numm vum Objet ze spezifizéieren. Et ass méiglech de Quell Site z'importéieren. An eisem Beispill hunn ech probéiert de funktionnéierende Webportal vum Mailserver ze spezifizéieren. Deementspriechend gouf et als HTML Code importéiert (och wann net komplett). Nächst sinn interessant Optiounen fir Benotzerinput z'erfëllen:
Erfaasst proposéiert Donnéeën. Wann déi spezifizéiert Site Säit verschidde Input Formen enthält, da ginn all Daten opgeholl.
Capture Passwierder - erfaasst aginn Passwierder. Daten ginn an d'GoPhish Datebank geschriwwe ouni Verschlësselung, sou wéi et ass.
Zousätzlech kënne mir d'Optioun "Redirect to" benotzen, déi de Benotzer op eng spezifizéiert Säit redirect nodeems Dir Umeldungsinformatiounen aginn hutt. Loosst mech Iech drun erënneren datt mir e Szenario gesat hunn wou de Benotzer opgefuerdert gëtt d'Passwuert fir d'Firma E-Mail z'änneren. Fir dëst ze maachen, gëtt hien eng gefälschte Mail Autorisatioun Portal Säit ugebueden, duerno kann de Benotzer un all verfügbare Firmeressource geschéckt ginn.
Vergiesst net déi ofgeschloss Säit ze späicheren a gitt op d'Sektioun "Nei Kampagne".
Start vun GoPhish Fëscherei
Mir hunn all déi néideg Informatioune geliwwert. Am Tab "Nei Kampagne" erstellt eng nei Kampagne.
Lancéiere eng Campagne
Wou:
Numm
Campagne Numm
E-Mail Schabloun
Message Schabloun
Landung Page
Phishing Säit
URL
IP vun Ärem GoPhish Server (muss Netzwierkerreechbarkeet mam Host vum Affer hunn)
Nom Start kënne mir ëmmer mat der Statistik kennen léieren, déi uginn: geschéckt Messagen, opgemaach Messagen, Klick op Linken, lénks Daten op Spam transferéiert.
Aus de Statistike gesi mir datt 1 Message geschéckt gouf, loosst eis d'Mail vun der Säit vum Empfänger kucken:
Tatsächlech krut d'Affer erfollegräich eng Phishing-E-Mail, déi hie gefrot huet e Link ze verfollegen fir säi Passwuert fir säi Firmekonto z'änneren. Mir maachen déi ugefrote Aktiounen, mir ginn op d'Landing Pages geschéckt, wat iwwer d'Statistiken?
Als Resultat huet eise Benotzer op e Phishing Link geklickt, wou hien potenziell seng Kontinformatioun hannerloosse kann.
Notiz vum Auteur: den Dateentrée Prozess gouf net opgeholl wéinst der Benotzung vun engem Testlayout, awer esou eng Optioun existéiert. Wéi och ëmmer, den Inhalt ass net verschlësselt a gëtt an der GoPhish Datebank gespäichert, behalen dëst am Kapp.
Amplaz vun enger Konklusioun
Haut hu mir dat aktuellt Thema beréiert fir automatiséiert Training fir Mataarbechter ze maachen fir se vu Phishingattacken ze schützen an IT Alphabetiséierung an hinnen z'entwéckelen. Gophish gouf als bezuelbar Léisung ofgesat, déi gutt Resultater a punkto Ofbauzäit a Resultat gewisen huet. Mat dësem zougänglechen Tool kënnt Dir Är Mataarbechter iwwerpréiwen a Berichter iwwer hiert Verhalen generéieren. Wann Dir un dësem Produkt interesséiert sidd, bidde mir Hëllef beim Ofbau an Audit vun Äre Mataarbechter ([Email geschützt]).
Wéi och ëmmer, mir wäerte net ophalen fir eng Léisung ze iwwerpréiwen a plangen den Zyklus weiderzemaachen, wou mir iwwer Enterprise Léisunge schwätzen fir den Trainingsprozess ze automatiséieren an d'Sécherheet vun de Mataarbechter ze iwwerwaachen. Bleift bei eis a sidd waakreg!