Hari ini, pentadbir rangkaian atau jurutera keselamatan maklumat menghabiskan banyak masa dan usaha untuk melindungi perimeter rangkaian perusahaan daripada pelbagai ancaman, menguasai sistem baharu untuk mencegah dan memantau peristiwa, tetapi ini tidak menjamin keselamatan yang lengkap. Kejuruteraan sosial digunakan secara aktif oleh penyerang dan boleh membawa akibat yang serius.
Berapa kerapkah anda terfikir: "Adalah bagus untuk mengatur ujian untuk kakitangan mengenai celik keselamatan maklumat"? Malangnya, pemikiran menghadapi dinding salah faham dalam bentuk sejumlah besar tugas atau masa terhad dalam hari bekerja. Kami bercadang untuk memberitahu anda tentang produk dan teknologi moden dalam bidang automasi latihan kakitangan, yang tidak memerlukan latihan yang panjang untuk perintis atau pelaksanaan, tetapi tentang segala-galanya dengan teratur.
Asas teori
Hari ini, lebih daripada 80% fail berniat jahat diedarkan melalui e-mel (data diambil daripada laporan daripada pakar Check Point sepanjang tahun lalu menggunakan perkhidmatan Laporan Perisikan).
Laporkan selama 30 hari terakhir pada vektor serangan untuk pengedaran fail berniat jahat (Rusia) - Check Point
Ini menunjukkan bahawa kandungan dalam mesej e-mel agak terdedah kepada eksploitasi oleh penyerang. Jika kita menganggap format fail berniat jahat yang paling popular dalam lampiran (EXE, RTF, DOC), perlu diperhatikan bahawa ia, sebagai peraturan, mengandungi elemen automatik pelaksanaan kod (skrip, makro).
Laporan tahunan tentang format fail dalam mesej berniat jahat yang diterima - Check Point
Bagaimana untuk menangani vektor serangan ini? Menyemak mel melibatkan penggunaan alat keselamatan:
-
antivirus β pengesanan tandatangan ancaman.
-
Emulation - kotak pasir yang mana lampiran dibuka dalam persekitaran terpencil.
-
Kesedaran Kandungan β mengekstrak elemen aktif daripada dokumen. Pengguna menerima dokumen yang telah dibersihkan (biasanya dalam format PDF).
-
Anti spam β menyemak domain penerima/penghantar untuk reputasi.
Dan, secara teori, ini sudah cukup, tetapi terdapat satu lagi sumber yang sama berharga untuk syarikat - data korporat dan peribadi pekerja. Dalam beberapa tahun kebelakangan ini, populariti jenis penipuan Internet berikut telah berkembang secara aktif:
Pancingan data (Pancingan data bahasa Inggeris, dari memancing - memancing, memancing) - sejenis penipuan Internet. Tujuannya adalah untuk mendapatkan data pengenalan pengguna. Ini termasuk kecurian kata laluan, nombor kad kredit, akaun bank dan maklumat sensitif lain.
Penyerang sedang menambah baik kaedah serangan pancingan data, mengubah hala permintaan DNS daripada tapak popular dan melancarkan keseluruhan kempen menggunakan kejuruteraan sosial untuk menghantar e-mel.
Oleh itu, untuk melindungi e-mel korporat anda daripada pancingan data, adalah disyorkan untuk menggunakan dua pendekatan, dan penggunaan gabungan mereka membawa kepada hasil yang terbaik:
-
Alat perlindungan teknikal. Seperti yang dinyatakan sebelum ini, pelbagai teknologi digunakan untuk menyemak dan memajukan hanya mel yang sah.
-
Latihan teoretikal kakitangan. Ia terdiri daripada ujian komprehensif kakitangan untuk mengenal pasti mangsa yang berpotensi. Kemudian mereka dilatih semula dan statistik sentiasa direkodkan.
Jangan percaya dan semak
Hari ini kita akan bercakap tentang pendekatan kedua untuk mencegah serangan pancingan data, iaitu latihan kakitangan automatik untuk meningkatkan tahap keselamatan keseluruhan data korporat dan peribadi. Mengapa ini boleh menjadi sangat berbahaya?
Kejuruteraan sosial β manipulasi psikologi orang untuk melakukan tindakan tertentu atau mendedahkan maklumat sulit (berkaitan dengan keselamatan maklumat).
Gambar rajah senario penggunaan serangan pancingan data biasa
Mari kita lihat carta alir yang menyeronokkan yang menggariskan secara ringkas perjalanan kempen pancingan data. Ia mempunyai peringkat yang berbeza:
-
Pengumpulan data primer.
Pada abad ke-21, sukar untuk mencari seseorang yang tidak didaftarkan di mana-mana rangkaian sosial atau di pelbagai forum tematik. Sememangnya, ramai di antara kita meninggalkan maklumat terperinci tentang diri kita: tempat kerja semasa, kumpulan untuk rakan sekerja, telefon, mel, dll. Tambahkan pada maklumat yang diperibadikan ini tentang minat seseorang dan anda mempunyai data untuk membentuk templat pancingan data. Walaupun kami tidak dapat mencari orang yang mempunyai maklumat sedemikian, sentiasa ada tapak web syarikat di mana kami boleh mencari semua maklumat yang kami minati (e-mel domain, kenalan, sambungan).
-
Pelancaran kempen.
Sebaik sahaja anda mempunyai papan anjal, anda boleh menggunakan alatan percuma atau berbayar untuk melancarkan kempen pancingan data sasaran anda sendiri. Semasa proses mel, anda akan mengumpul statistik: mel dihantar, mel dibuka, pautan diklik, kelayakan dimasukkan, dsb.
Produk di pasaran
Pancingan data boleh digunakan oleh penyerang dan pekerja keselamatan maklumat syarikat untuk menjalankan audit berterusan terhadap tingkah laku pekerja. Apakah yang ditawarkan oleh pasaran penyelesaian percuma dan komersial untuk sistem latihan automatik untuk pekerja syarikat kepada kami:
-
ialah projek sumber terbuka yang membolehkan anda menggunakan kempen pancingan data untuk menyemak celik IT pekerja anda. Saya akan menganggap kelebihannya ialah kemudahan penggunaan dan keperluan sistem yang minimum. Kelemahannya ialah kekurangan templat mel siap sedia, kekurangan ujian dan bahan latihan untuk kakitangan.
-
β tapak dengan sejumlah besar produk yang tersedia untuk kakitangan ujian.
-
β sistem automatik untuk ujian dan latihan pekerja. Mempunyai pelbagai versi produk yang menyokong daripada 10 hingga lebih daripada 1000 pekerja. Kursus latihan termasuk teori dan tugasan praktikal; adalah mungkin untuk mengenal pasti keperluan berdasarkan statistik yang diperoleh selepas kempen pancingan data. Penyelesaiannya adalah komersial dengan kemungkinan penggunaan percubaan.
-
β latihan automatik dan sistem pemantauan keselamatan. Produk komersial menawarkan serangan latihan berkala, latihan pekerja, dsb. Kempen ditawarkan sebagai versi demo produk, yang termasuk menggunakan templat dan menjalankan tiga serangan latihan.
Penyelesaian di atas hanyalah sebahagian daripada produk yang tersedia di pasaran latihan kakitangan automatik. Sudah tentu, masing-masing mempunyai kelebihan dan kekurangannya sendiri. Hari ini kita akan berkenalan dengan , simulasi serangan pancingan data dan terokai pilihan yang tersedia.
GoPhish
Jadi, sudah tiba masanya untuk berlatih. GoPhish tidak dipilih secara kebetulan: ia adalah alat yang mesra pengguna dengan ciri berikut:
-
Pemasangan dan permulaan yang dipermudahkan.
-
Sokongan REST API. Membolehkan anda membuat pertanyaan daripada dan gunakan skrip automatik.
-
Antara muka kawalan grafik yang mudah.
-
Merentas platform.
Pasukan pembangunan telah menyediakan yang sangat baik mengenai menggunakan dan mengkonfigurasi GoPhish. Sebenarnya, anda hanya perlu pergi ke , muat turun arkib ZIP untuk OS yang sepadan, jalankan fail binari dalaman, selepas itu alat itu akan dipasang.
NOTA PENTING!
Akibatnya, anda harus menerima maklumat terminal tentang portal yang digunakan, serta data kebenaran (berkaitan untuk versi yang lebih lama daripada versi 0.10.1). Jangan lupa selamatkan kata laluan untuk diri sendiri!
msg="Please login with the username admin and the password <ΠΠΠ ΠΠΠ¬>"Memahami persediaan GoPhish
Selepas pemasangan, fail konfigurasi (config.json) akan dibuat dalam direktori aplikasi. Mari kita terangkan parameter untuk mengubahnya:
Kunci
Nilai (lalai)
ΠΠΏΠΈΡΠ°Π½ΠΈΠ΅
admin_server.listen_url
127.0.0.1:3333
Alamat IP pelayan GoPhish
admin_server.use_tls
palsu
Adakah TLS digunakan untuk menyambung ke pelayan GoPhish
admin_server.cert_path
contoh.crt
Laluan ke sijil SSL untuk portal pentadbir GoPhish
admin_server.path_key
contoh.kunci
Laluan ke kunci SSL peribadi
phish_server.listen_url
0.0.0.0:80
Alamat IP dan port tempat halaman pancingan data dihoskan (secara lalai ia dihoskan pada pelayan GoPhish itu sendiri pada port 80)
-> Pergi ke portal pengurusan. Dalam kes kami: https://127.0.0.1:3333
β> Anda akan diminta menukar kata laluan yang agak panjang kepada yang lebih mudah atau sebaliknya.
Mencipta profil penghantar
Pergi ke tab "Menghantar Profil" dan berikan maklumat tentang pengguna yang mel kami akan berasal:
Di mana:
Nama
Nama pengirim
daripada
E-mel penghantar
Tuan rumah
Alamat IP pelayan mel dari mana mel masuk akan didengari.
Nama pengguna
Log masuk akaun pengguna pelayan mel.
Kata Laluan
Kata laluan akaun pengguna pelayan mel.
Anda juga boleh menghantar mesej ujian untuk memastikan kejayaan penghantaran. Simpan tetapan menggunakan butang "Simpan profil".
Mewujudkan kumpulan penerima
Seterusnya, anda harus membentuk kumpulan penerima "surat berantai". Pergi ke βPengguna & Kumpulanβ β βKumpulan Baharuβ. Terdapat dua cara untuk menambah: secara manual atau mengimport fail CSV.
Kaedah kedua memerlukan medan berikut yang diperlukan:
-
Nama Awalan
-
Nama Terakhir
-
E-mel
-
Kedudukan
Sebagai contoh:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Mencipta Templat E-mel Phishing
Setelah kami mengenal pasti penyerang khayalan dan bakal mangsa, kami perlu mencipta templat dengan mesej. Untuk melakukan ini, pergi ke bahagian "Templat E-mel" β "Templat Baharu".
Apabila membentuk templat, pendekatan teknikal dan kreatif digunakan; mesej daripada perkhidmatan harus dinyatakan yang akan biasa kepada pengguna mangsa atau akan menyebabkan mereka reaksi tertentu. Pilihan yang mungkin:
Nama
Nama templat
Tajuk
Subjek surat
Teks / HTML
Medan untuk memasukkan teks atau kod HTML
Gophish menyokong pengimportan surat, tetapi kami akan membuat surat sendiri. Untuk melakukan ini, kami mensimulasikan senario: pengguna syarikat menerima surat yang memintanya menukar kata laluan daripada e-mel korporatnya. Seterusnya, mari analisa reaksinya dan lihat "tangkapan" kami.
Kami akan menggunakan pembolehubah terbina dalam dalam templat. Butiran lanjut boleh didapati di atas seksyen .
Mula-mula, mari muatkan teks berikut:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamSehubungan itu, nama pengguna akan dimasukkan secara automatik (mengikut item "Kumpulan Baharu" yang dinyatakan sebelum ini) dan alamat posnya akan ditunjukkan.
Seterusnya, kami harus menyediakan pautan kepada sumber pancingan data kami. Untuk melakukan ini, serlahkan perkataan "di sini" dalam teks dan pilih pilihan "Pautan" pada panel kawalan.
Kami akan menetapkan URL kepada pembolehubah terbina dalam {{.URL}}, yang akan kami isi kemudian. Ia akan dibenamkan secara automatik dalam teks e-mel pancingan data.
Sebelum menyimpan templat, jangan lupa untuk mendayakan pilihan "Tambah Imej Penjejakan". Ini akan menambah elemen media piksel 1x1 yang akan menjejaki sama ada pengguna telah membuka e-mel.
Jadi, tidak banyak yang tinggal, tetapi pertama-tama kami akan meringkaskan langkah-langkah yang diperlukan selepas log masuk ke portal Gophish:
-
Buat profil penghantar;
-
Buat kumpulan pengedaran di mana anda menentukan pengguna;
-
Buat templat e-mel pancingan data.
Setuju, persediaan tidak mengambil banyak masa dan kami hampir bersedia untuk melancarkan kempen kami. Yang tinggal hanyalah menambah halaman pancingan data.
Mencipta halaman pancingan data
Pergi ke tab "Halaman Pendaratan".
Kami akan diminta untuk menentukan nama objek. Ia adalah mungkin untuk mengimport tapak sumber. Dalam contoh kami, saya cuba menentukan portal web yang berfungsi bagi pelayan mel. Sehubungan itu, ia telah diimport sebagai kod HTML (walaupun tidak sepenuhnya). Berikut ialah pilihan menarik untuk menangkap input pengguna:
-
Tangkap Data yang Diserahkan. Jika halaman tapak yang ditentukan mengandungi pelbagai borang input, maka semua data akan direkodkan.
-
Tangkap Kata Laluan - tangkap kata laluan yang dimasukkan. Data ditulis ke pangkalan data GoPhish tanpa penyulitan, sebagaimana adanya.
Selain itu, kami boleh menggunakan pilihan "Ubah hala ke", yang akan mengubah hala pengguna ke halaman tertentu selepas memasukkan bukti kelayakan. Biar saya ingatkan anda bahawa kami telah menetapkan senario di mana pengguna digesa untuk menukar kata laluan untuk e-mel korporat. Untuk melakukan ini, dia ditawarkan halaman portal kebenaran mel palsu, selepas itu pengguna boleh dihantar ke mana-mana sumber syarikat yang tersedia.
Jangan lupa simpan halaman yang telah siap dan pergi ke bahagian "Kempen Baharu".
Pelancaran memancing GoPhish
Kami telah menyediakan semua maklumat yang diperlukan. Dalam tab "Kempen Baharu", buat kempen baharu.
Pelancaran kempen
Di mana:
Nama
Nama kempen
Templat E-mel
Templat mesej
Landing Page
Halaman pancingan data
URL
IP pelayan GoPhish anda (mesti mempunyai kebolehcapaian rangkaian dengan hos mangsa)
Tarikh pelancaran
Tarikh mula kempen
Hantar E-mel Oleh
Tarikh tamat kempen (mel diedarkan sama rata)
Menghantar Profil
Profil penghantar
kumpulan
Kumpulan penerima surat
Selepas permulaan, kami sentiasa boleh membiasakan diri dengan statistik, yang menunjukkan: mesej dihantar, mesej dibuka, klik pada pautan, data kiri dipindahkan ke spam.
Daripada statistik yang kita lihat bahawa 1 mesej telah dihantar, mari kita semak mel dari pihak penerima:
Malah, mangsa berjaya menerima e-mel pancingan data yang memintanya mengikuti pautan untuk menukar kata laluan akaun korporatnya. Kami melaksanakan tindakan yang diminta, kami dihantar ke Halaman Pendaratan, bagaimana pula dengan statistik?
Akibatnya, pengguna kami mengklik pada pautan pancingan data, di mana dia berpotensi meninggalkan maklumat akaunnya.
Nota pengarang: proses kemasukan data tidak direkodkan kerana penggunaan susun atur ujian, tetapi pilihan sedemikian wujud. Walau bagaimanapun, kandungan tidak disulitkan dan disimpan dalam pangkalan data GoPhish, sila ingat perkara ini.
Daripada kesimpulan
Hari ini kami menyentuh topik semasa menjalankan latihan automatik untuk pekerja bagi melindungi mereka daripada serangan pancingan data dan membangunkan celik IT di dalamnya. Gophish telah digunakan sebagai penyelesaian yang berpatutan, yang menunjukkan hasil yang baik dari segi masa dan hasil penggunaan. Dengan alat yang boleh diakses ini, anda boleh mengaudit pekerja anda dan menjana laporan tentang tingkah laku mereka. Jika anda berminat dengan produk ini, kami menawarkan bantuan dalam menggunakan produk ini dan mengaudit pekerja anda ([e-mel dilindungi]).
Walau bagaimanapun, kami tidak akan berhenti pada menyemak satu penyelesaian dan merancang untuk meneruskan kitaran, di mana kami akan bercakap tentang penyelesaian Perusahaan untuk mengautomasikan proses latihan dan memantau keselamatan pekerja. Tinggal bersama kami dan berwaspada!
Sumber: www.habr.com