1. Gebruikers trainen in de basisprincipes van informatiebeveiliging. Strijd tegen phishing

Tegenwoordig besteedt een netwerkbeheerder of een informatiebeveiligingsingenieur veel tijd en moeite aan het beschermen van de perimeter van een bedrijfsnetwerk tegen verschillende bedreigingen, beheerst hij nieuwe systemen voor het voorkomen en bewaken van gebeurtenissen, maar zelfs dit garandeert hem geen volledige veiligheid. Social engineering wordt actief gebruikt door aanvallers en kan ernstige gevolgen hebben.

Hoe vaak heb je jezelf betrapt op de gedachte: “Het zou leuk zijn om een ​​check te regelen voor medewerkers op geletterdheid in informatiebeveiliging”? Helaas lopen gedachten op een muur van onbegrip in de vorm van een groot aantal taken of de beperkte tijd van de werkdag. We zijn van plan u te vertellen over moderne producten en technologieën op het gebied van automatisering van personeelstraining, waarvoor geen lange voorbereiding voor pilots of implementatie nodig is, maar first things first.

Theoretisch fundament

Tegenwoordig wordt meer dan 80% van de schadelijke bestanden per post verspreid (gegevens afkomstig uit de rapporten van Check Point-experts van het afgelopen jaar met behulp van de Intelligence Reports-service).

Schadelijke Bestandsaanval Vector Rapport (Rusland) - Check Point

Dit suggereert dat de inhoud van e-mailberichten kwetsbaar genoeg is om misbruikt te worden door aanvallers. Als we kijken naar de meest populaire kwaadaardige bestandsindelingen in bijlagen (EXE, RTF, DOC), dan is het vermeldenswaard dat ze meestal automatische code-uitvoeringselementen bevatten (scripts, macro's).

Jaarrapport over bestandsindelingen in ontvangen schadelijke berichten - Check Point

Hoe om te gaan met deze aanvalsvector? Het controleren van e-mail maakt gebruik van beveiligingstools: 

• antivirus — Signatuurdetectie van bedreigingen.

• Wedijver - een sandbox waarmee bijlagen in een geïsoleerde omgeving worden geopend.

• Inhoudelijk bewustzijn — extractie van actieve elementen uit documenten. De gebruiker ontvangt een opgeschoond document (meestal in PDF-formaat).

• Anti spam - controleren van het domein van de ontvanger/afzender op reputatie.

En in theorie is dit genoeg, maar er is nog een even waardevolle bron voor het bedrijf: bedrijfs- en persoonlijke gegevens van werknemers. In de afgelopen jaren is de populariteit van het volgende type internetfraude actief gegroeid:

phishing (Engelse phishing, van vissen - vissen, vissen) - een vorm van internetfraude. Het doel is om gebruikersidentificatiegegevens te verkrijgen. Dit omvat het stelen van wachtwoorden, creditcardnummers, bankrekeningen en andere gevoelige informatie.

Aanvallers perfectioneren phishing-aanvallen, leiden DNS-verzoeken van populaire sites om en zetten hele campagnes in met behulp van social engineering om e-mails te verzenden. 

Om uw zakelijke e-mail tegen phishing te beschermen, worden dus twee benaderingen aanbevolen, en als u ze samen gebruikt, leidt dit tot de beste resultaten:

1. Hulpmiddelen voor technische bescherming. Zoals eerder vermeld, worden verschillende technologieën gebruikt om alleen legitieme e-mail te controleren en door te sturen.

2. Theoretische opleiding van personeel. Het bestaat uit uitgebreide tests van het personeel om potentiële slachtoffers te identificeren. Verder worden ze bijgeschoold, statistieken worden constant bijgehouden.   

Niet vertrouwen en verifiëren

Vandaag zullen we het hebben over de tweede benadering om phishing-aanvallen te voorkomen, namelijk geautomatiseerde training van personeel om het algehele beveiligingsniveau van bedrijfs- en persoonlijke gegevens te verhogen. Waarom kan het zo gevaarlijk zijn?

Social engineering - psychologische manipulatie van mensen om bepaalde handelingen uit te voeren of vertrouwelijke informatie vrij te geven (in het kader van informatiebeveiliging).

Diagram van een typisch implementatiescenario voor een phishing-aanval

Laten we eens kijken naar een onderhoudend stroomschema dat in het kort de weg weergeeft om een ​​phishing-campagne te promoten. Het heeft verschillende stadia:

1. Verzameling van primaire gegevens.

   In de 21e eeuw is het moeilijk om iemand te vinden die niet is geregistreerd in een sociaal netwerk of in verschillende thematische fora. Natuurlijk laten velen van ons gedetailleerde informatie over onszelf achter: huidige werklocatie, groep voor collega's, telefoon, e-mail, enz. Voeg daar nog gepersonaliseerde informatie over iemands interesses aan toe en je hebt de gegevens om een ​​phishing-sjabloon te vormen. Zelfs als het niet mogelijk was om mensen met dergelijke informatie te vinden, is er altijd een bedrijfswebsite waar u alle informatie kunt vinden waarin wij geïnteresseerd zijn (domeinmail, contacten, connecties).

2. Lancering van de campagne.

   Zodra u voet aan de grond heeft, kunt u uw eigen gerichte phishing-campagne lanceren met behulp van gratis of betaalde tools. In de loop van de mailinglijst verzamelt u statistieken: bezorgde mail, open mail, klikken op links, inloggegevens invoeren, enz.

Producten op de markt

Phishing kan worden gebruikt door zowel cybercriminelen als medewerkers van de informatiebeveiliging van het bedrijf om het gedrag van medewerkers continu te controleren. Wat biedt de markt ons voor gratis en commerciële oplossingen voor een geautomatiseerd opleidingssysteem voor bedrijfsmedewerkers:

1. GoPhish is een open source project waarmee u een phishingbedrijf kunt inzetten om de IT-kennis van uw medewerkers te controleren. De voordelen die ik zou hebben, zijn onder meer het gemak van implementatie en minimale systeemvereisten. De nadelen zijn het ontbreken van kant-en-klare mailingtemplates, het ontbreken van testen en trainingsmateriaal voor het personeel.

2. KnowBe4 — een platform met een groot aantal beschikbare producten voor personeelstesten.

3. Phishman — een geautomatiseerd systeem voor het testen en trainen van werknemers. Het heeft verschillende versies van producten die 10 tot meer dan 1000 werknemers ondersteunen. Trainingscursussen omvatten theorie en praktische taken, het is mogelijk om behoeften te identificeren op basis van de statistieken die zijn verkregen na de phishing-campagne. De oplossing is commercieel met de mogelijkheid van proefgebruik.

4. Anti-phishing — geautomatiseerd systeem van opleiding en controle van de beveiliging. Een commercieel product biedt periodieke schijnaanvallen, training van werknemers, enz. Als demoversie van het product wordt een campagne aangeboden die bestaat uit het inzetten van sjablonen en het uitvoeren van drie trainingsaanvallen.

Bovenstaande oplossingen zijn slechts een deel van de op de markt verkrijgbare producten van geautomatiseerde personeelstraining. Elk heeft natuurlijk zijn eigen voor- en nadelen. Vandaag gaan we kennismaken GoPhish, simuleer een phishingaanval, verken de beschikbare opties.

GoPhish

Het is dus tijd om te oefenen. GoPhish is niet toevallig gekozen: het is een gebruiksvriendelijke tool met de volgende eigenschappen:

1. Vereenvoudigde installatie en lancering.

2. REST API-ondersteuning. Hiermee kunt u aanvragen genereren van documentatie en automatische scripts toepassen. 

3. Handige grafische gebruikersinterface.

4. Cross-platform.

Het ontwikkelingsteam heeft een uitstekend voorbereid Hyde over het implementeren en configureren van GoPhish. Eigenlijk hoef je alleen maar naar toe te gaan opslagplaats, download het ZIP-archief voor het bijbehorende besturingssysteem, voer het interne binaire bestand uit, waarna de tool wordt geïnstalleerd.

BELANGRIJKE NOTITIE!

Als gevolg hiervan zou u informatie over het geïmplementeerde portaal in de terminal moeten ontvangen, evenals gegevens voor autorisatie (relevant voor versies ouder dan versie 0.10.1). Vergeet niet je wachtwoord op te slaan!

msg="Please login with the username admin and the password <ПАРОЛЬ>"

De GoPhish-configuratie begrijpen

Na installatie wordt een configuratiebestand (config.json) aangemaakt in de applicatiemap. Laten we de parameters beschrijven om het te wijzigen:

sleutel

Waarde (standaard)

beschrijving

admin_server.luister_url

127.0.0.1:3333

GoPhish-server IP-adres

admin_server.use_tls

vals

Wordt TLS gebruikt om verbinding te maken met de GoPhish-server

admin_server.cert_path

voorbeeld.crt

Pad naar het SSL-certificaat voor de GoPhish Admin Portal

admin_server.sleutel_pad

voorbeeld.sleutel

Pad naar privé SSL-sleutel

phish_server.luister_url

0.0.0.0:80

Phishing-pagina die IP-adres en poort host (standaard gehost op de GoPhish-server zelf op poort 80)

—> Ga naar het beheerportaal. In ons geval: https://127.0.0.1:3333

-> U wordt gevraagd een voldoende lang wachtwoord te wijzigen in een eenvoudiger wachtwoord of vice versa.

Een afzenderprofiel maken

Ga naar het tabblad "Profielen verzenden" en specificeer de gegevens van de gebruiker van wie onze mailing zal worden verzonden:

Waar:

Naam

Naam afzender

Van

Post van de afzender

gastheer

Het IP-adres van de mailserver waarvan inkomende mail wordt beluisterd.

Gebruikersnaam

Gebruikersaccount van de mailserver inloggen.

Wachtwoord

Het wachtwoord voor het gebruikersaccount van de mailserver.

U kunt ook een testbericht sturen om te controleren of de levering is gelukt. Sla de instellingen op met de knop "Profiel opslaan".

Maak een bestemmingsgroep aan

Vervolgens moet u een groep ontvangers van "geluksbrieven" vormen. Ga naar “Gebruiker & Groepen” → “Nieuwe Groep”. Er zijn twee manieren om toe te voegen: handmatig of door een CSV-bestand te importeren.

De tweede methode vereist de aanwezigheid van verplichte velden:

• Voornaam

• Achternaam

• E-mail

• Positie

Als voorbeeld:

First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]

Maak een phishing-e-mailsjabloon

Nadat we de denkbeeldige aanvaller en potentiële slachtoffers hebben geïdentificeerd, moeten we een berichtsjabloon maken. Ga hiervoor naar het gedeelte "E-mailsjablonen" → "Nieuwe sjablonen".

Bij het vormen van een sjabloon wordt een technische en creatieve benadering gebruikt, u moet een bericht van de service specificeren dat bekend zal zijn bij slachtoffergebruikers of hen een bepaalde reactie zal bezorgen. Mogelijke opties:

Naam

Sjabloon naam

Onderwerp

Brief onderwerp

Tekst / HTML

Veld voor het invoeren van tekst of HTML-code

Gophish ondersteunt het importeren van e-mail, maar we maken er zelf een. Hiervoor simuleren we een scenario: een bedrijfsgebruiker ontvangt een brief met een voorstel om het wachtwoord te wijzigen vanuit zijn zakelijke mail. Vervolgens analyseren we zijn reactie en kijken we naar onze "vangst".

We gebruiken ingebouwde variabelen in de sjabloon. Meer details zijn te vinden in het bovenstaande gids sectie Sjabloonreferentie.

Laten we eerst de volgende tekst laden:

{{.FirstName}},

The password for {{.Email}} has expired. Please reset your password here.

Thanks,
IT Team

Dienovereenkomstig wordt de gebruikersnaam automatisch vervangen (volgens het eerder ingestelde item "Nieuwe groep") en wordt zijn postadres aangegeven.

Vervolgens moeten we een link naar onze phishing-bron geven. Selecteer hiervoor het woord "hier" in de tekst en selecteer de optie "Link" op het bedieningspaneel.

Als URL specificeren we de ingebouwde variabele {{.URL}}, die we later zullen invullen. Het wordt automatisch ingebed in de hoofdtekst van de phishing-e-mail.

Vergeet niet de optie "Voeg volgafbeelding toe" in te schakelen voordat u de sjabloon opslaat. Hiermee wordt een media-element van 1x1 pixel toegevoegd dat bijhoudt wanneer de gebruiker de e-mail heeft geopend.

Er blijft dus niet veel over, maar eerst vatten we de vereiste stappen samen na autorisatie op de Gophish-portal: 

1. Maak een afzenderprofiel aan;

2. Maak een distributiegroep waar u gebruikers kunt specificeren;

3. Maak een phishing-e-mailsjabloon.

Mee eens, de opzet kostte niet veel tijd en we zijn bijna klaar om onze campagne te lanceren. Het blijft om een ​​phishing-pagina toe te voegen.

Een phishingpagina maken

Ga naar het tabblad "Bestemmingspagina's".

We zullen worden gevraagd om de naam van het object op te geven. Het is mogelijk om de bronsite te importeren. In ons voorbeeld heb ik geprobeerd een werkend webportaal voor de mailserver op te geven. Dienovereenkomstig werd het geïmporteerd als HTML-code (zij het niet volledig). De volgende zijn interessante opties voor het vastleggen van gebruikersinvoer:

• Leg ingediende gegevens vast. Als de opgegeven sitepagina verschillende invoerformulieren bevat, worden alle gegevens vastgelegd.

• Leg wachtwoorden vast - leg ingevoerde wachtwoorden vast. De gegevens worden zonder codering naar de GoPhish-database geschreven, zoals ze zijn.

Bovendien kunnen we de optie "Omleiden naar" gebruiken, die de gebruiker na het invoeren van de inloggegevens naar de opgegeven pagina zal leiden. Laat me u eraan herinneren dat we een scenario hebben ingesteld waarin de gebruiker wordt gevraagd het wachtwoord voor zakelijke e-mail te wijzigen. Om dit te doen, krijgt hij een neppagina van het e-mailautorisatieportaal aangeboden, waarna de gebruiker naar elke beschikbare bedrijfsbron kan worden gestuurd.

Vergeet niet de voltooide pagina op te slaan en naar het gedeelte "Nieuwe campagne" te gaan.

Lancering van GoPhish-vissen

We hebben alle benodigde informatie verstrekt. Maak een nieuwe campagne op het tabblad 'Nieuwe campagne'.

Lancering van de campagne

Waar:

Naam

campagne naam

E-mailsjabloon

Bericht sjabloon

Landing Page

Phishing-pagina

URL

IP van uw GoPhish-server (moet netwerkbereikbaar zijn met de host van het slachtoffer)

Lanceerdatum

Startdatum campagne

Stuur e-mail door

Einddatum campagne (mailing wordt gelijkmatig verdeeld)

Profiel verzenden

Afzender profiel

Groepen

Ontvangersgroep mailen

Na de start kunnen we altijd kennis maken met de statistieken, die aangeven: verzonden berichten, geopende berichten, klikken op links, gegevens over, overdracht naar spam.

Uit de statistieken zien we dat er 1 bericht is verzonden, laten we de e-mail van de kant van de ontvanger bekijken:

Het slachtoffer ontving inderdaad met succes een phishing-e-mail waarin hen werd gevraagd de link te volgen om het wachtwoord van hun bedrijfsaccount te wijzigen. We voeren de gevraagde acties uit, we worden naar de bestemmingspagina's gestuurd, hoe zit het met de statistieken?

Als gevolg hiervan volgde onze gebruiker een phishing-link waar hij mogelijk zijn accountgegevens achterliet.

Opmerking van de auteur: het data-invoerproces lag niet vast vanwege het gebruik van een testlay-out, maar die optie is er wel. Tegelijkertijd is de inhoud niet versleuteld en wordt deze opgeslagen in de GoPhish-database, houd hier rekening mee.

In plaats Output

Vandaag hebben we het actuele onderwerp aangestipt van het geven van geautomatiseerde trainingen aan werknemers om hen te beschermen tegen phishing-aanvallen en hen te onderwijzen in IT-kennis. Als betaalbare oplossing werd Gophish ingezet, dat qua implementatietijd tot resultaat goed presteerde. Met deze betaalbare tool kunt u uw medewerkers controleren en rapporten genereren over hun gedrag. Als u geïnteresseerd bent in dit product, bieden wij hulp bij het inzetten ervan en het auditen van uw medewerkers ([e-mail beveiligd]).

We stoppen echter niet bij een beoordeling van één oplossing en zijn van plan om de cyclus voort te zetten, waar we zullen praten over Enterprise-oplossingen voor het automatiseren van het leerproces en het bewaken van de veiligheid van werknemers. Blijf bij ons en wees waakzaam!

Bron: www.habr.com