1. LietotÄju apmÄcÄ«ba informÄcijas droŔības pamatos. CÄ«Åa ar pikŔķerÄÅ”anu
MÅ«sdienÄs tÄ«kla administrators vai informÄcijas droŔības inženieris velta daudz laika un pūļu, lai aizsargÄtu uzÅÄmuma tÄ«kla perimetru no dažÄdiem draudiem, apgÅ«stot jaunas sistÄmas notikumu novÄrÅ”anai un uzraudzÄ«bai, taÄu pat tas negarantÄ pilnÄ«gu droŔību. UzbrucÄji aktÄ«vi izmanto sociÄlo inženieriju, un tai var bÅ«t nopietnas sekas.
Cik bieži esat pieÄ·Äris sevi pie domas: āBÅ«tu jauki sarÄ«kot personÄlam testu par informÄcijas droŔības pratÄ«buā? DiemžÄl domas ieskrienas pÄrpratumu sienÄ liela uzdevumu skaita vai ierobežota laika darba dienÄ veidÄ. PlÄnojam pastÄstÄ«t par mÅ«sdienÄ«giem produktiem un tehnoloÄ£ijÄm personÄla apmÄcÄ«bas automatizÄcijas jomÄ, kuru pilotÄÅ”anai vai ievieÅ”anai nebÅ«s nepiecieÅ”amas ilgstoÅ”as āāapmÄcÄ«bas, bet gan par visu kÄrtÄ«bÄ.
TeorÄtiskais pamats
MÅ«sdienÄs vairÄk nekÄ 80% ļaunprÄtÄ«go failu tiek izplatÄ«ti pa e-pastu (dati, kas iegÅ«ti no Check Point speciÄlistu ziÅojumiem pÄdÄjÄ gada laikÄ, izmantojot Intelligence Reports pakalpojumu).
ZiÅojums par pÄdÄjÄm 30 dienÄm par uzbrukuma vektoru ļaunprÄtÄ«gu failu izplatÄ«Å”anai (Krievija) ā Check Point
Tas liek domÄt, ka e-pasta ziÅojumu saturs ir diezgan neaizsargÄts pret uzbrucÄju izmantoÅ”anu. Ja Åemam vÄrÄ vispopulÄrÄkos ļaunprÄtÄ«gos failu formÄtus pielikumos (EXE, RTF, DOC), ir vÄrts atzÄ«mÄt, ka tie parasti satur automÄtiskus koda izpildes elementus (skriptus, makro).
Gada pÄrskats par failu formÄtiem saÅemtajos ļaunprÄtÄ«gajos ziÅojumos - Check Point
KÄ tikt galÄ ar Å”o uzbrukuma vektoru? Pasta pÄrbaude ietver droŔības rÄ«ku izmantoÅ”anu:
antivÄ«russ ā draudu parakstu noteikÅ”ana.
SacensÄ«ba - smilÅ”u kaste, ar kuru izolÄtÄ vidÄ tiek atvÄrti pielikumi.
Satura izpratne ā aktÄ«vo elementu iegÅ«Å”ana no dokumentiem. LietotÄjs saÅem iztÄ«rÄ«tu dokumentu (parasti PDF formÄtÄ).
Un teorÄtiski ar to pietiek, taÄu uzÅÄmumam ir vÄl viens tikpat vÄrtÄ«gs resurss - darbinieku korporatÄ«vie un personas dati. PÄdÄjos gados ir aktÄ«vi pieaugusi Å”Äda veida interneta krÄpÅ”anas popularitÄte:
PikŔķerÄÅ”ana (angļu pikŔķerÄÅ”ana, no makŔķerÄÅ”anas - makŔķerÄÅ”ana, makŔķerÄÅ”ana) - interneta krÄpÅ”anas veids. TÄs mÄrÄ·is ir iegÅ«t lietotÄja identifikÄcijas datus. Tas ietver paroļu, kredÄ«tkarÅ”u numuru, bankas kontu un citas sensitÄ«vas informÄcijas zÄdzÄ«bu.
UzbrucÄji uzlabo pikŔķerÄÅ”anas uzbrukumu metodes, novirza DNS pieprasÄ«jumus no populÄrÄm vietnÄm un uzsÄk veselas kampaÅas, izmantojot sociÄlo inženieriju, lai nosÅ«tÄ«tu e-pastus.
TÄdÄjÄdi, lai aizsargÄtu savu korporatÄ«vo e-pastu no pikŔķerÄÅ”anas, ieteicams izmantot divas pieejas, un to kombinÄcija nodroÅ”ina vislabÄkos rezultÄtus:
Tehniskie aizsardzÄ«bas instrumenti. KÄ minÄts iepriekÅ”, tikai likumÄ«gu pastu pÄrbaudei un pÄrsÅ«tÄ«Å”anai tiek izmantotas dažÄdas tehnoloÄ£ijas.
PersonÄla teorÄtiskÄ apmÄcÄ«ba. Tas sastÄv no visaptveroÅ”as personÄla pÄrbaudes, lai identificÄtu potenciÄlos upurus. Tad viÅi tiek pÄrkvalificÄti un pastÄvÄ«gi tiek reÄ£istrÄta statistika.
Neuzticieties un pÄrbaudiet
Å odien mÄs runÄsim par otro pieeju pikŔķerÄÅ”anas uzbrukumu novÄrÅ”anai, proti, automatizÄtu personÄla apmÄcÄ«bu, lai paaugstinÄtu kopÄjo korporatÄ«vo un personas datu droŔības lÄ«meni. KÄpÄc tas varÄtu bÅ«t tik bÄ«stami?
sociÄlÄ inženierija ā psiholoÄ£iskas manipulÄcijas ar cilvÄkiem, lai veiktu noteiktas darbÄ«bas vai atklÄtu konfidenciÄlu informÄciju (saistÄ«bÄ ar informÄcijas droŔību).
Tipiska pikŔķerÄÅ”anas uzbrukuma izvietoÅ”anas scenÄrija diagramma
ApskatÄ«sim jautru blokshÄmu, kas Ä«si raksturo pikŔķerÄÅ”anas kampaÅas gaitu. Tam ir dažÄdi posmi:
PrimÄro datu vÄkÅ”ana.
21. gadsimtÄ ir grÅ«ti atrast cilvÄku, kurÅ” nav reÄ£istrÄts nevienÄ sociÄlajÄ tÄ«klÄ vai dažÄdos tematiskos forumos. Protams, daudzi no mums atstÄj detalizÄtu informÄciju par sevi: paÅ”reizÄjÄ darba vieta, kolÄÄ£u grupa, tÄlrunis, pasts utt. Pievienojiet Å”ai personalizÄtajai informÄcijai par personas interesÄm, un jums bÅ«s dati, lai izveidotu pikŔķerÄÅ”anas veidni. Pat ja mÄs nevaram atrast cilvÄkus ar Å”Ädu informÄciju, vienmÄr ir uzÅÄmuma vietne, kurÄ mÄs varam atrast visu mÅ«s interesÄjoÅ”o informÄciju (domÄna e-pasts, kontakti, savienojumi).
KampaÅas uzsÄkÅ”ana.
Kad esat izveidojis tramplÄ«nu, varat izmantot bezmaksas vai maksas rÄ«kus, lai uzsÄktu savu mÄrÄ·tiecÄ«gu pikŔķerÄÅ”anas kampaÅu. Pasta nosÅ«tÄ«Å”anas laikÄ tiks uzkrÄta statistika: pasts piegÄdÄts, pasts atvÄrts, noklikŔķinÄtas uz saitÄm, ievadÄ«ti akreditÄcijas dati utt.
Produkti tirgū
PikŔķerÄÅ”anu var izmantot gan uzbrucÄji, gan uzÅÄmuma informÄcijas droŔības darbinieki, lai veiktu pastÄvÄ«gu darbinieku uzvedÄ«bas auditu. Ko mums piedÄvÄ uzÅÄmumu darbinieku automatizÄtÄs apmÄcÄ«bas sistÄmas bezmaksas un komerciÄlo risinÄjumu tirgus:
GoPhish ir atvÄrtÄ pirmkoda projekts, kas ļauj izvietot pikŔķerÄÅ”anas kampaÅu, lai pÄrbaudÄ«tu savu darbinieku IT pratÄ«bu. Es uzskatu, ka priekÅ”rocÄ«bas ir vienkÄrÅ”a izvietoÅ”ana un minimÄlÄs sistÄmas prasÄ«bas. TrÅ«kumi ir gatavu pasta veidÅu trÅ«kums, testu un personÄla apmÄcÄ«bas materiÄlu trÅ«kums.
KnowBe4 ā vietne ar lielu skaitu pieejamo produktu testÄÅ”anas personÄlam.
PikŔķernieks ā automatizÄta darbinieku pÄrbaudes un apmÄcÄ«bas sistÄma. Ir dažÄdas produktu versijas, kas atbalsta no 10 lÄ«dz vairÄk nekÄ 1000 darbiniekiem. ApmÄcÄ«bu kursi ietver teoriju un praktiskus uzdevumus, vajadzÄ«bas ir iespÄjams noteikt, pamatojoties uz statistiku, kas iegÅ«ta pÄc pikŔķerÄÅ”anas kampaÅas. RisinÄjums ir komerciÄls ar izmÄÄ£inÄjuma lietoÅ”anas iespÄju.
AntipikŔķerÄÅ”ana ā automatizÄta apmÄcÄ«bas un droŔības uzraudzÄ«bas sistÄma. KomerciÄlais produkts piedÄvÄ periodiskus apmÄcÄ«bu uzbrukumus, darbinieku apmÄcÄ«bu utt. KampaÅa tiek piedÄvÄta kÄ produkta demonstrÄcijas versija, kas ietver veidÅu izvietoÅ”anu un trÄ«s apmÄcÄ«bu uzbrukumu veikÅ”anu.
IepriekÅ” minÄtie risinÄjumi ir tikai daļa no automatizÄtÄs personÄla apmÄcÄ«bas tirgÅ« pieejamajiem produktiem. Protams, katram ir savas priekÅ”rocÄ«bas un trÅ«kumi. Å odien mÄs iepazÄ«simies ar GoPhish, simulÄjiet pikŔķerÄÅ”anas uzbrukumu un izpÄtiet pieejamÄs iespÄjas.
GoPhish
TÄtad, ir pienÄcis laiks vingrinÄties. GoPhish netika izvÄlÄts nejauÅ”i: tas ir lietotÄjam draudzÄ«gs rÄ«ks ar Å”ÄdÄm funkcijÄm:
VienkÄrÅ”ota uzstÄdÄ«Å”ana un palaiÅ”ana.
REST API atbalsts. Ä»auj izveidot vaicÄjumus no dokumentÄcija un lietot automatizÄtus skriptus.
Ärts grafiskais vadÄ«bas interfeiss.
Starpplatformu.
IzstrÄdes komanda ir sagatavojusi izcilu vadÄ«t par GoPhish izvietoÅ”anu un konfigurÄÅ”anu. PatiesÄ«bÄ viss, kas jums jÄdara, ir doties uz krÄtuve, lejupielÄdÄjiet ZIP arhÄ«vu attiecÄ«gajai OS, palaidiet iekÅ”Äjo binÄro failu, pÄc kura rÄ«ks tiks instalÄts.
SVARÄŖGA PIEZÄŖME!
RezultÄtÄ terminÄlÄ« jÄsaÅem informÄcija par izvietoto portÄlu, kÄ arÄ« autorizÄcijas dati (attiecas uz versijÄm, kas vecÄkas par versiju 0.10.1). Neaizmirstiet nodroÅ”inÄt paroli sev!
msg="Please login with the username admin and the password <ŠŠŠ ŠŠŠ¬>"
Izpratne par GoPhish iestatīŔanu
PÄc instalÄÅ”anas lietojumprogrammas direktorijÄ tiks izveidots konfigurÄcijas fails (config.json). AprakstÄ«sim parametrus tÄ maiÅai:
TaustiÅÅ”
VÄrtÄ«ba (noklusÄjums)
Apraksts
admin_server.listen_url
127.0.0.1:3333
GoPhish servera IP adrese
admin_server.use_tls
nepatiess
Vai TLS tiek izmantots, lai izveidotu savienojumu ar GoPhish serveri
admin_server.cert_path
piemÄrs.crt
CeļŔ uz SSL sertifikÄtu GoPhish administrÄÅ”anas portÄlam
admin_server.key_path
example.key
CeļŔ uz privÄto SSL atslÄgu
phish_server.listen_url
0.0.0.0:80
IP adrese un ports, kurÄ tiek mitinÄta pikŔķerÄÅ”anas lapa (pÄc noklusÄjuma tÄ tiek mitinÄta paÅ”Ä GoPhish serverÄ« 80. portÄ)
ā> Dodieties uz vadÄ«bas portÄlu. MÅ«su gadÄ«jumÄ: https://127.0.0.1:3333
ā> Jums tiks lÅ«gts nomainÄ«t diezgan garu paroli uz vienkÄrÅ”Äku vai otrÄdi.
SÅ«tÄ«tÄja profila izveide
Dodieties uz cilni "SÅ«tÄ«Å”anas profili" un sniedziet informÄciju par lietotÄju, no kura tiks nosÅ«tÄ«ts mÅ«su pasts:
Kur:
VÄrds
SÅ«tÄ«tÄja vÄrds
no
SÅ«tÄ«tÄja e-pasts
Saimnieks
TÄ pasta servera IP adrese, no kura tiks uzklausÄ«ts ienÄkoÅ”ais pasts.
LietotÄjvÄrds
Pasta servera lietotÄja konta pieteikÅ”anÄs.
Parole
Pasta servera lietotÄja konta parole.
Varat arÄ« nosÅ«tÄ«t testa ziÅojumu, lai nodroÅ”inÄtu veiksmÄ«gu piegÄdi. SaglabÄjiet iestatÄ«jumus, izmantojot pogu āSaglabÄt profiluā.
AdresÄtu grupas izveide
PÄc tam jums vajadzÄtu izveidot āÄ·Ädes vÄstuļuā adresÄtu grupu. Dodieties uz "LietotÄjs un grupas" ā "Jauna grupa". Ir divi pievienoÅ”anas veidi: manuÄli vai importÄjot CSV failu.
Otrajai metodei ir nepiecieÅ”ami Å”Ädi obligÄtie lauki:
Kad esam identificÄjuÅ”i iedomÄto uzbrucÄju un potenciÄlos upurus, mums ir jÄizveido veidne ar ziÅojumu. Lai to izdarÄ«tu, dodieties uz sadaļu "E-pasta veidnes" ā "Jaunas veidnes".
Veidojot veidni, tiek izmantota tehniska un radoÅ”a pieeja, jÄnorÄda dienesta ziÅojums, kas cietuÅ”ajiem lietotÄjiem bÅ«s pazÄ«stams vai izraisÄ«s noteiktu reakciju. IespÄjamie varianti:
VÄrds
Veidnes nosaukums
Temats
VÄstules tÄma
Teksts/HTML
Lauks teksta vai HTML koda ievadīŔanai
Gophish atbalsta burtu importÄÅ”anu, bet mÄs izveidosim paÅ”i. Lai to izdarÄ«tu, mÄs simulÄjam scenÄriju: uzÅÄmuma lietotÄjs no korporatÄ«vÄ e-pasta saÅem vÄstuli ar lÅ«gumu nomainÄ«t paroli. TÄlÄk analizÄsim viÅa reakciju un apskatÄ«sim mÅ«su ānozvejuā.
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
AttiecÄ«gi tiks automÄtiski ievadÄ«ts lietotÄja vÄrds (saskaÅÄ ar iepriekÅ” norÄdÄ«to vienumu āJauna grupaā) un norÄdÄ«ta viÅa pasta adrese.
TÄlÄk mums vajadzÄtu nodroÅ”inÄt saiti uz mÅ«su pikŔķerÄÅ”anas resursu. Lai to izdarÄ«tu, tekstÄ iezÄ«mÄjiet vÄrdu āÅ”eitā un vadÄ«bas panelÄ« atlasiet opciju āSaiteā.
VietrÄdi URL iestatÄ«sim kÄ iebÅ«vÄto mainÄ«go {{.URL}}, ko aizpildÄ«sim vÄlÄk. Tas tiks automÄtiski iegults pikŔķerÄÅ”anas e-pasta tekstÄ.
Pirms veidnes saglabÄÅ”anas neaizmirstiet iespÄjot opciju āPievienot izsekoÅ”anas attÄluā. TÄdÄjÄdi tiks pievienots 1 x 1 pikseļa multivides elements, kas izsekos, vai lietotÄjs ir atvÄris e-pastu.
TÄtad, vairs nav daudz atlicis, taÄu vispirms apkoposim nepiecieÅ”amÄs darbÄ«bas pÄc pieteikÅ”anÄs Gophish portÄlÄ:
PiekrÄ«tu, iestatÄ«Å”ana neaizÅÄma daudz laika, un mÄs esam gandrÄ«z gatavi sÄkt savu kampaÅu. Atliek tikai pievienot pikŔķerÄÅ”anas lapu.
PikŔķerÄÅ”anas lapas izveide
Dodieties uz cilni āGalvenÄs lapasā.
Mums tiks piedÄvÄts norÄdÄ«t objekta nosaukumu. Ir iespÄjams importÄt avota vietni. MÅ«su piemÄrÄ es mÄÄ£inÄju norÄdÄ«t pasta servera darba tÄ«mekļa portÄlu. AttiecÄ«gi tas tika importÄts kÄ HTML kods (lai gan ne pilnÄ«bÄ). TÄlÄk ir norÄdÄ«tas interesantas iespÄjas lietotÄja ievades uztverÅ”anai.
Iesniegto datu tverÅ”ana. Ja norÄdÄ«tajÄ vietnes lapÄ ir dažÄdas ievades formas, visi dati tiks ierakstÄ«ti.
Capture Passwords - tveriet ievadÄ«tÄs paroles. Dati tiek ierakstÄ«ti GoPhish datu bÄzÄ bez Å”ifrÄÅ”anas, kÄ tas ir.
TurklÄt mÄs varam izmantot opciju āNovirzÄ«t uzā, kas novirzÄ«s lietotÄju uz noteiktu lapu pÄc akreditÄcijas datu ievadÄ«Å”anas. AtgÄdinÄÅ”u, ka esam iestatÄ«juÅ”i scenÄriju, kurÄ lietotÄjam tiek piedÄvÄts nomainÄ«t korporatÄ«vÄ e-pasta paroli. Lai to izdarÄ«tu, viÅam tiek piedÄvÄta viltus pasta autorizÄcijas portÄla lapa, pÄc kuras lietotÄjs var tikt nosÅ«tÄ«ts uz jebkuru pieejamo uzÅÄmuma resursu.
Neaizmirstiet saglabÄt aizpildÄ«to lapu un doties uz sadaļu āJauna kampaÅaā.
GoPhish zvejas palaiŔana
Esam snieguÅ”i visu nepiecieÅ”amo informÄciju. CilnÄ āJauna kampaÅaā izveidojiet jaunu kampaÅu.
KampaÅas uzsÄkÅ”ana
Kur:
VÄrds
KampaÅas nosaukums
E-pasta veidne
ZiÅojuma veidne
Landing Page
PikŔķerÄÅ”anas lapa
URL
JÅ«su GoPhish servera IP (jÄbÅ«t tÄ«kla sasniedzamÄ«bai ar upura saimniekdatoru)
Starta datums
KampaÅas sÄkuma datums
Sūtīt e-pastus ar
KampaÅas beigu datums (pasta sÅ«tÄ«Å”ana vienmÄrÄ«gi sadalÄ«ta)
Profila nosūtīŔana
SÅ«tÄ«tÄja profils
grupas
Pasta adresÄtu grupa
PÄc starta vienmÄr varam iepazÄ«ties ar statistiku, kurÄ norÄdÄ«ts: nosÅ«tÄ«tie ziÅojumi, atvÄrtie ziÅojumi, klikŔķi uz saitÄm, atstÄtie dati pÄrnesti uz surogÄtpastu.
No statistikas redzam, ka nosÅ«tÄ«ts 1 ziÅojums, pÄrbaudÄ«sim pastu no adresÄta puses:
PatieÅ”Äm, upuris veiksmÄ«gi saÅÄma pikŔķerÄÅ”anas e-pastu ar lÅ«gumu sekot saitei, lai mainÄ«tu sava uzÅÄmuma konta paroli. MÄs veicam pieprasÄ«tÄs darbÄ«bas, tiekam nosÅ«tÄ«ti uz galvenajÄm lapÄm, kÄ ir ar statistiku?
RezultÄtÄ mÅ«su lietotÄjs noklikŔķinÄja uz pikŔķerÄÅ”anas saites, kurÄ viÅÅ”, iespÄjams, varÄja atstÄt sava konta informÄciju.
Autora piezÄ«me: datu ievades process netika reÄ£istrÄts testa izkÄrtojuma izmantoÅ”anas dÄļ, taÄu Å”Äda iespÄja pastÄv. TomÄr saturs nav Å”ifrÄts un tiek glabÄts GoPhish datu bÄzÄ. LÅ«dzu, Åemiet to vÄrÄ.
TÄ vietÄ, lai noslÄgtu
Å odien mÄs pieskÄrÄmies aktuÄlajai tÄmai par darbinieku automatizÄtu apmÄcÄ«bu veikÅ”anu, lai pasargÄtu viÅus no pikŔķerÄÅ”anas uzbrukumiem un attÄ«stÄ«tu viÅos IT pratÄ«bu. Gophish tika izvietots kÄ pieÅemams risinÄjums, kas uzrÄdÄ«ja labus rezultÄtus izvietoÅ”anas laika un rezultÄta ziÅÄ. Izmantojot Å”o pieejamo rÄ«ku, varat pÄrbaudÄ«t savus darbiniekus un izveidot ziÅojumus par viÅu uzvedÄ«bu. Ja jÅ«s interesÄ Å”is produkts, mÄs piedÄvÄjam palÄ«dzÄ«bu tÄ ievieÅ”anÄ un darbinieku auditÄÅ”anÄ ([e-pasts aizsargÄts]).
TaÄu neapstÄties pie viena risinÄjuma pÄrskatÄ«Å”anas un plÄnojam turpinÄt ciklu, kur runÄsim par Enterprise risinÄjumiem apmÄcÄ«bu procesa automatizÄÅ”anai un darbinieku droŔības uzraudzÄ«bai. Paliec ar mums un esi modrs!