Өнөөдөр сүлжээний администратор эсвэл мэдээллийн аюулгүй байдлын инженер нь аж ахуйн нэгжийн сүлжээний периметрийг янз бүрийн аюулаас хамгаалах, үйл явдлуудаас урьдчилан сэргийлэх, хянах шинэ системийг эзэмшихэд маш их цаг хугацаа, хүчин чармайлт гаргадаг боловч энэ нь бүрэн аюулгүй байдлын баталгаа болж чадахгүй. Нийгмийн инженерчлэлийг халдагчид идэвхтэй ашигладаг бөгөөд ноцтой үр дагаварт хүргэж болзошгүй юм.
Та "Мэдээллийн аюулгүй байдлын мэдлэгийн түвшин тогтоох шалгалтыг ажилчдад зохион байгуулах нь сайхан байх болно" гэж өөрийгөө хэр олон удаа бодож байсан бэ? Харамсалтай нь бодол санаа нь олон тооны даалгавар эсвэл ажлын өдөр хязгаарлагдмал цаг хэлбэрээр үл ойлголцлын хана руу эргэлддэг. Туршилт, хэрэгжүүлэхэд урт хугацааны сургалт шаарддаггүй боловсон хүчний сургалтыг автоматжуулах орчин үеийн бүтээгдэхүүн, технологийн талаар бид танд хэлэхээр төлөвлөж байна.
Онолын үндэс
Өнөөдөр хортой файлуудын 80 гаруй хувийг цахим шуудангаар түгээж байна (Тагнуулын тайлан үйлчилгээг ашиглан өнгөрсөн жилийн Check Point мэргэжилтнүүдийн тайлангаас авсан мэдээлэл).
Хортой файлуудыг түгээх халдлагын векторын сүүлийн 30 хоногийн тайлан (Орос) - Шалгах цэг
Энэ нь и-мэйл мессеж дэх контент халдагчдын мөлжлөгт нэлээд өртөмтгий болохыг харуулж байна. Хэрэв бид хавсралтууд дахь хамгийн алдартай хортой файлын форматуудыг авч үзвэл (EXE, RTF, DOC) тэдгээр нь дүрмээр бол код гүйцэтгэх автомат элементүүдийг (скрипт, макро) агуулдаг гэдгийг тэмдэглэх нь зүйтэй.
Хүлээн авсан хортой мессеж дэх файлын форматын жилийн тайлан - Шалгах цэг
Энэ халдлагын вектортой хэрхэн харьцах вэ? Имэйлийг шалгах нь аюулгүй байдлын хэрэгслийг ашиглах явдал юм:
-
Антивирус - аюул заналыг илрүүлэх гарын үсэг.
-
Эмуляц - тусгаарлагдсан орчинд хавсралт нээгддэг хамгаалагдсан хязгаарлагдмал орчин.
-
Агуулгын талаархи мэдлэг - баримтаас идэвхтэй элементүүдийг гаргаж авах. Хэрэглэгч цэвэрлэсэн баримт бичгийг (ихэвчлэн PDF форматаар) хүлээн авдаг.
-
AntiSpam - хүлээн авагч/илгээгчийн домэйны нэр хүндийг шалгах.
Онолын хувьд энэ нь хангалттай, гэхдээ компанийн хувьд өөр нэгэн адил үнэ цэнэтэй нөөц бий - ажилчдын байгууллагын болон хувийн мэдээлэл. Сүүлийн жилүүдэд дараах төрлийн интернет залилангийн алдар нэр идэвхтэй өсч байна.
Phishing (Англи фишинг, загас агнуураас - загасчлах, загасчлах) - интернетийн луйврын нэг төрөл. Үүний зорилго нь хэрэглэгчийн таних мэдээллийг олж авах явдал юм. Үүнд нууц үг, зээлийн картын дугаар, банкны данс болон бусад нууц мэдээллийг хулгайлах зэрэг орно.
Халдагчид фишинг халдлагын аргуудыг сайжруулж, алдартай сайтуудын DNS хүсэлтийг дахин чиглүүлж, цахим шуудан илгээхийн тулд нийгмийн инженерчлэлийг ашиглан бүхэл бүтэн кампанит ажил эхлүүлж байна.
Тиймээс, корпорацын имэйлээ фишингээс хамгаалахын тулд хоёр аргыг ашиглахыг зөвлөж байна, тэдгээрийг хослуулан ашиглах нь хамгийн сайн үр дүнд хүргэдэг.
-
Техникийн хамгаалалтын хэрэгсэл. Өмнө дурьдсанчлан, зөвхөн хууль ёсны захидлыг шалгах, дамжуулахад янз бүрийн технологи ашигладаг.
-
Боловсон хүчний онолын сургалт. Энэ нь болзошгүй хохирогчдыг тодорхойлохын тулд боловсон хүчний цогц шинжилгээнээс бүрдэнэ. Дараа нь тэднийг давтан сургаж, статистикийг байнга бүртгэдэг.
Битгий итгэ, шалга
Өнөөдөр бид фишинг халдлагаас урьдчилан сэргийлэх хоёр дахь аргын тухай ярих болно, тухайлбал корпорацийн болон хувийн мэдээллийн аюулгүй байдлын ерөнхий түвшинг нэмэгдүүлэхийн тулд автоматжуулсан боловсон хүчний сургалт. Энэ яагаад ийм аюултай байж болох вэ?
нийгмийн инженерчлэл - тодорхой үйлдэл хийх, нууц мэдээллийг задруулах зорилгоор хүмүүсийн сэтгэл зүйн заль мэх (мэдээллийн аюулгүй байдалтай холбоотой).
Фишинг халдлагын ердийн хувилбарын диаграмм
Фишингийн кампанит ажлын замыг товч харуулсан хөгжилтэй схемийг харцгаая. Энэ нь өөр өөр үе шаттай:
-
Анхдагч мэдээллийн цуглуулга.
21-р зуунд ямар ч нийгмийн сүлжээ эсвэл янз бүрийн сэдэвчилсэн форумд бүртгүүлээгүй хүнийг олоход хэцүү байдаг. Мэдээжийн хэрэг, бидний олонх нь өөрсдийнхөө тухай дэлгэрэнгүй мэдээллийг үлдээдэг: одоогийн ажлын газар, хамт ажиллагсдад зориулсан бүлэг, утас, шуудан гэх мэт. Үүнд хүний сонирхлын талаарх хувийн мэдээллийг нэмснээр танд фишингийн загвар үүсгэх өгөгдөл бий болно. Хэдийгээр бид ийм мэдээлэлтэй хүмүүсийг олж чадаагүй ч гэсэн бидний сонирхож буй бүх мэдээллийг (домайн имэйл, холбоо барих хаяг, холболт) олох боломжтой компанийн вэбсайт үргэлж байдаг.
-
Аяны нээлт.
Та трамплинтай болсны дараа та үнэгүй эсвэл төлбөртэй хэрэгслийг ашиглан өөрийн зорилтот фишинг кампанит ажлыг эхлүүлэх боломжтой. Захидал илгээх явцад та статистик мэдээллийг хуримтлуулах болно: хүргэсэн захидал, нээсэн захидал, холбоосыг дарсан, итгэмжлэл оруулсан гэх мэт.
Зах зээл дээрх бүтээгдэхүүнүүд
Фишингийг халдагчид болон компанийн мэдээллийн аюулгүй байдлын ажилтнууд ажилчдын зан төлөвт байнгын аудит хийх зорилгоор ашиглаж болно. Компанийн ажилтнуудад зориулсан сургалтын автоматжуулсан системийн үнэ төлбөргүй, арилжааны шийдлүүдийн зах зээл бидэнд юу санал болгодог вэ?
-
нь ажилчдынхаа мэдээллийн технологийн мэдлэгийг шалгахын тулд фишинг хийх кампанит ажил явуулах боломжийг олгодог нээлттэй эхийн төсөл юм. Би давуу талыг ашиглахад хялбар, системийн хамгийн бага шаардлага гэж үздэг. Сул тал нь захидлын бэлэн загвар дутмаг, ажилтнуудад зориулсан шалгалт, сургалтын материал байхгүй байна.
-
- ажилтнуудыг турших боломжтой олон тооны бүтээгдэхүүн бүхий сайт.
-
— ажилчдыг турших, сургах автоматжуулсан систем. 10-аас 1000 гаруй ажилтантай бүтээгдэхүүнүүдийн янз бүрийн хувилбаруудтай. Сургалтууд нь онол, практик даалгавруудыг багтаасан бөгөөд фишинг кампанит ажлын дараа олж авсан статистик мэдээлэлд үндэслэн хэрэгцээг тодорхойлох боломжтой. Энэхүү шийдэл нь арилжааны зориулалттай бөгөөд туршилтаар ашиглах боломжтой.
-
— сургалт, аюулгүй байдлын хяналтын автоматжуулсан систем. Арилжааны бүтээгдэхүүн нь үе үе сургалтын халдлага, ажилчдын сургалт гэх мэтийг санал болгодог. Загваруудыг байршуулах, гурван сургалтын халдлага хийх зэрэг кампанит ажлыг бүтээгдэхүүний демо хувилбар болгон санал болгож байна.
Дээрх шийдлүүд нь автоматжуулсан боловсон хүчний сургалтын зах зээл дээр байгаа бүтээгдэхүүний зөвхөн нэг хэсэг юм. Мэдээжийн хэрэг, тус бүр өөрийн гэсэн давуу болон сул талуудтай. Өнөөдөр бид танилцах болно , фишинг халдлагыг дуурайж, боломжтой сонголтуудыг судлаарай.
GoPhish
Тиймээс, дасгал хийх цаг болжээ. GoPhish-ийг санамсаргүй байдлаар сонгоогүй: энэ нь дараах боломжуудтай хэрэглэгчдэд ээлтэй хэрэгсэл юм.
-
Хялбаршуулсан суурилуулалт, эхлүүлэх.
-
REST API дэмжлэг. -аас асуулга үүсгэх боломжийг танд олгоно мөн автоматжуулсан скриптүүдийг ашиглах.
-
Тохиромжтой график хяналтын интерфейс.
-
Хөндлөн платформ.
Хөгжлийн баг маш сайн бэлтгэсэн GoPhish-ийг байршуулах, тохируулах талаар. Үнэн хэрэгтээ таны хийх ёстой зүйл бол очих явдал юм , харгалзах үйлдлийн системд зориулсан ZIP архивыг татаж аваад дотоод хоёртын файлыг ажиллуулсны дараа уг хэрэгслийг суулгана.
ЧУХАЛ МЭДЭГДЭЛ!
Үүний үр дүнд та терминал дээр байрлуулсан порталын тухай мэдээлэл, түүнчлэн зөвшөөрлийн өгөгдөл (0.10.1 хувилбараас өмнөх хувилбаруудад хамааралтай) хүлээн авах ёстой. Өөртөө нууц үг оруулахаа бүү мартаарай!
msg="Please login with the username admin and the password <ПАРОЛЬ>"GoPhish тохиргоог ойлгох
Суулгасны дараа програмын лавлахад тохиргооны файл (config.json) үүсгэгдэнэ. Үүнийг өөрчлөх параметрүүдийг тайлбарлая:
Түлхүүр үг
Утга (өгөгдмөл)
Тайлбар
admin_server.listen_url
127.0.0.1:3333
GoPhish серверийн IP хаяг
admin_server.use_tls
хуурамч
TLS нь GoPhish сервертэй холбогдоход хэрэглэгддэг
admin_server.cert_path
жишээ.crt
GoPhish админ порталын SSL сертификатын зам
admin_server.key_path
жишээ.түлхүүр
Хувийн SSL түлхүүр рүү очих зам
phish_server.listen_url
0.0.0.0:80
Фишинг хуудсыг байршуулсан IP хаяг ба порт (өгөгдмөл байдлаар энэ нь GoPhish сервер дээр өөрөө 80-р порт дээр байрладаг)
—> Удирдлагын портал руу очно уу. Манай тохиолдолд: https://127.0.0.1:3333
—> Танаас нэлээд урт нууц үгээ энгийн эсвэл эсрэгээр солихыг хүсэх болно.
Илгээгчийн профайл үүсгэж байна
"Илгээх профайл" таб руу орж, бидний захидал ирэх хэрэглэгчийн тухай мэдээллийг оруулна уу:
Хаана:
нэр
Илгээгчийн нэр
эхлэн
Илгээгчийн имэйл
Host
Ирж буй имэйлийг сонсох шуудангийн серверийн IP хаяг.
Хэрэглэгчийн нэр
Мэйл сервер хэрэглэгчийн бүртгэлд нэвтрэх.
Нууц үг
Мэйл серверийн хэрэглэгчийн бүртгэлийн нууц үг.
Хүргэлтийн амжилтыг баталгаажуулахын тулд та туршилтын мессеж илгээж болно. "Профайл хадгалах" товчийг ашиглан тохиргоог хадгална уу.
Хүлээн авагчдын бүлгийг бий болгох
Дараа нь та "гинжин үсэг" хүлээн авагчдын бүлгийг бүрдүүлэх хэрэгтэй. "Хэрэглэгч ба бүлгүүд" → "Шинэ бүлэг" рүү очно уу. Нэмэх хоёр арга бий: гараар эсвэл CSV файлыг импортлох.
Хоёр дахь арга нь дараах шаардлагатай талбаруудыг шаарддаг:
-
Нэр
-
Өнгөрсөн нэр
-
И-мэйл
-
Албан тушаал
Жишээ болгон:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Фишинг имэйлийн загвар үүсгэх
Бид хуурамч халдлага үйлдэгч болон болзошгүй хохирогчдыг олж тогтоосны дараа мессеж бүхий загвар үүсгэх хэрэгтэй. Үүнийг хийхийн тулд "И-мэйл загварууд" → "Шинэ загварууд" хэсэгт очно уу.
Загвар бүрдүүлэхдээ техникийн болон бүтээлч хандлагыг ашигладаг бөгөөд хохирогч хэрэглэгчдэд танил болох эсвэл тодорхой хариу үйлдэл үзүүлэх үйлчилгээний мессежийг зааж өгөх ёстой. Боломжит сонголтууд:
нэр
Загварын нэр
Агуулга
Захидлын сэдэв
Текст/HTML
Текст эсвэл HTML код оруулах талбар
Gophish үсэг импортлохыг дэмждэг боловч бид өөрсдөө бичих болно. Үүнийг хийхийн тулд бид хувилбарыг дуурайлган хийдэг: компанийн хэрэглэгч өөрийн байгууллагын имэйлээс нууц үгээ солихыг хүссэн захидал хүлээн авдаг. Дараа нь түүний хариу үйлдэлд дүн шинжилгээ хийж, "барих"-аа харцгаая.
Бид загварт суулгасан хувьсагчдыг ашиглах болно. Дэлгэрэнгүй мэдээллийг дээрхээс олж болно хэсэг .
Эхлээд дараах текстийг ачаалъя.
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamҮүний дагуу хэрэглэгчийн нэрийг автоматаар оруулах болно (өмнө нь заасан "Шинэ бүлэг" зүйлийн дагуу) түүний шуудангийн хаягийг зааж өгнө.
Дараа нь бид фишинг хийх эх сурвалжийн холбоосыг өгөх ёстой. Үүнийг хийхийн тулд текст дэх "энд" гэсэн үгийг тодруулж, хяналтын самбар дээрх "Холбоос" сонголтыг сонгоно уу.
Бид URL-г суулгасан хувьсагч {{.URL}}-д тохируулж, дараа нь бөглөх болно. Энэ нь фишинг имэйлийн текстэнд автоматаар суулгагдана.
Загварыг хадгалахын өмнө "Мөшгөх зураг нэмэх" сонголтыг идэвхжүүлэхээ бүү мартаарай. Энэ нь хэрэглэгч имэйлийг нээсэн эсэхийг хянах 1x1 пикселийн медиа элементийг нэмэх болно.
Тиймээс, тийм ч их зүйл үлдээгүй ч эхлээд Gophish портал руу нэвтэрсний дараа шаардлагатай алхмуудыг нэгтгэн дүгнэх болно.
-
Илгээгчийн профайл үүсгэх;
-
Хэрэглэгчдийг зааж өгсөн түгээлтийн бүлэг үүсгэх;
-
Фишинг имэйлийн загвар үүсгэх.
Зөвшөөрч байна, тохируулга нь тийм ч их цаг аваагүй бөгөөд бид кампанит ажлаа эхлүүлэхэд бараг бэлэн байна. Зөвхөн фишинг хуудас нэмэх л үлдлээ.
Фишинг хуудас үүсгэх
"Буулгах хуудас" таб руу очно уу.
Бид объектын нэрийг зааж өгөхийг хүсэх болно. Эх сайтыг импортлох боломжтой. Бидний жишээн дээр би шуудангийн серверийн ажиллаж байгаа вэб порталыг зааж өгөхийг оролдсон. Үүний дагуу үүнийг HTML код болгон импортолсон (бүрэн биш ч гэсэн). Дараа нь хэрэглэгчийн оруулсан мэдээллийг авах сонирхолтой сонголтууд:
-
Илгээсэн өгөгдлийг авах. Хэрэв заасан сайтын хуудсанд янз бүрийн оролтын маягт байгаа бол бүх өгөгдлийг бүртгэх болно.
-
Capture Passwords - оруулсан нууц үгээ авах. Өгөгдлийг GoPhish мэдээллийн санд шифрлэлтгүйгээр бичдэг.
Нэмж дурдахад бид "Дахин чиглүүлэх" сонголтыг ашиглаж болох бөгөөд энэ нь итгэмжлэлийг оруулсны дараа хэрэглэгчийг заасан хуудас руу дахин чиглүүлэх болно. Хэрэглэгчээс байгууллагын цахим шуудангийн нууц үгийг өөрчлөхийг хүссэн хувилбарыг бид тохируулсан гэдгийг сануулъя. Үүнийг хийхийн тулд түүнд хуурамч имэйлийн зөвшөөрлийн портал хуудсыг санал болгодог бөгөөд үүний дараа хэрэглэгчийг компанийн аль ч боломжтой эх сурвалж руу илгээж болно.
Дууссан хуудсыг хадгалж, "Шинэ кампанит ажил" хэсэгт очихоо бүү мартаарай.
GoPhish загасчлалын нээлт
Бид шаардлагатай бүх мэдээллийг өгсөн. "Шинэ кампанит ажил" таб дээр шинэ кампанит ажил үүсгэ.
Аяны нээлт
Хаана:
нэр
Аяны нэр
Имэйлийн загвар
Мессежийн загвар
Ландшафт хуудас
Фишинг хуудас
URL
Таны GoPhish серверийн IP (хохирогчийн хосттой сүлжээнд холбогдох боломжтой байх ёстой)
Гарах огноо
Кампанит ажил эхлэх огноо
Имэйл илгээх
Кампанит ажил дуусах огноо (мэдээлэл жигд тархсан)
Профайл илгээж байна
Илгээгчийн профайл
Бүлэг
Захидал хүлээн авагчийн бүлэг
Эхлүүлсний дараа бид илгээсэн мессеж, нээгдсэн мессеж, холбоос дээр дарах, спам руу шилжүүлсэн өгөгдлийг үлдээсэн статистиктай үргэлж танилцах боломжтой.
Статистик мэдээллээс харахад бид 1 мессеж илгээсэн тул хүлээн авагчийн талаас шуудангаа шалгая:
Үнэн хэрэгтээ хохирогч өөрийн байгууллагын дансны нууц үгийг солих холбоосыг дагахыг хүссэн фишинг имэйлийг амжилттай хүлээн авсан. Бид хүссэн үйлдлүүдийг хийж, биднийг Landing Pages руу илгээсэн, статистикийн талаар юу хэлэх вэ?
Үүний үр дүнд манай хэрэглэгч өөрийн акаунтын мэдээллээ орхиж болзошгүй фишинг холбоос дээр дарсан.
Зохиогчийн тэмдэглэл: Туршилтын бүдүүвч ашигласны улмаас өгөгдөл оруулах үйл явц бүртгэгдээгүй боловч ийм сонголт бий. Гэсэн хэдий ч агуулга нь шифрлэгдээгүй бөгөөд GoPhish мэдээллийн санд хадгалагддаг тул үүнийг санаарай.
Оронд дүгнэлтийг
Өнөөдөр бид ажилчдыг фишинг халдлагаас хамгаалах, мэдээллийн технологийн мэдлэгийг хөгжүүлэх зорилгоор автоматжуулсан сургалт явуулах өнөөгийн сэдвийг хөндлөө. Gophish-ийг боломжийн шийдэл болгон суулгасан бөгөөд энэ нь байршуулах хугацаа, үр дүнгийн хувьд сайн үр дүнг харуулсан. Энэхүү хүртээмжтэй хэрэгслээр та ажилчдаа аудит хийж, тэдний зан байдлын талаар тайлан гаргах боломжтой. Хэрэв та энэ бүтээгдэхүүнийг сонирхож байгаа бол бид үүнийг байршуулах, ажилтнууддаа аудит хийхэд туслахыг санал болгож байна ([имэйлээр хамгаалагдсан]).
Гэсэн хэдий ч бид нэг шийдлийг эргэн харахаар зогсохгүй бөгөөд сургалтын үйл явцыг автоматжуулах, ажилчдын аюулгүй байдлыг хянах зорилгоор Enterprise шийдлүүдийн талаар ярих циклийг үргэлжлүүлэхээр төлөвлөж байна. Бидэнтэй хамт байж, сонор сэрэмжтэй байгаарай!
Эх сурвалж: www.habr.com