1. Opplæring av brukere i grunnleggende informasjonssikkerhet. Kamp mot phishing

I dag bruker en nettverksadministrator eller informasjonssikkerhetsingeniør mye tid og krefter på å beskytte omkretsen av et bedriftsnettverk fra ulike trusler, mestre nye systemer for å forhindre og overvåke hendelser, men selv dette garanterer ikke fullstendig sikkerhet. Sosialteknikk brukes aktivt av angripere og kan få alvorlige konsekvenser.

Hvor ofte har du tatt deg selv i å tenke: «Det ville vært fint å arrangere en test for ansatte om informasjonssikkerhetskompetanse»? Tankene løper dessverre inn i en vegg av misforståelser i form av et stort antall oppgaver eller begrenset tid i arbeidsdagen. Vi planlegger å fortelle deg om moderne produkter og teknologier innen automatisering av personellopplæring, som ikke vil kreve langvarig opplæring for pilotering eller implementering, men om alt i orden.

Teoretisk grunnlag

I dag distribueres mer enn 80 % av ondsinnede filer via e-post (data hentet fra rapporter fra Check Point-spesialister det siste året ved bruk av Intelligence Reports-tjenesten).

Rapport for de siste 30 dagene om angrepsvektoren for distribusjon av ondsinnede filer (Russland) - Check Point

Dette antyder at innholdet i e-postmeldinger er ganske sårbart for utnyttelse av angripere. Hvis vi vurderer de mest populære ondsinnede filformatene i vedlegg (EXE, RTF, DOC), er det verdt å merke seg at de som regel inneholder automatiske elementer av kodekjøring (skript, makroer).

Årsrapport om filformater i mottatte ondsinnede meldinger - Check Point

Hvordan håndtere denne angrepsvektoren? Å sjekke e-post innebærer bruk av sikkerhetsverktøy: 

• antivirus — signaturdeteksjon av trusler.

• Emulering - en sandkasse som vedlegg åpnes med i et isolert miljø.

• Innholdsbevissthet — trekke ut aktive elementer fra dokumenter. Brukeren mottar et renset dokument (vanligvis i PDF-format).

• Anti spam — sjekke mottakerens/senderdomenet for omdømme.

Og i teorien er dette nok, men det er en annen like verdifull ressurs for selskapet - bedrifts- og personopplysninger om ansatte. De siste årene har populariteten til følgende type Internett-svindel vokst aktivt:

Phishing (engelsk phishing, fra fiske - fiske, fiske) - en type Internett-svindel. Formålet er å innhente brukeridentifikasjonsdata. Dette inkluderer tyveri av passord, kredittkortnumre, bankkontoer og annen sensitiv informasjon.

Angripere forbedrer metoder for phishing-angrep, omdirigerer DNS-forespørsler fra populære nettsteder og lanserer hele kampanjer ved å bruke sosial teknikk for å sende e-poster. 

For å beskytte bedriftens e-post mot nettfisking, anbefales det derfor å bruke to tilnærminger, og deres kombinerte bruk fører til de beste resultatene:

1. Tekniske beskyttelsesverktøy. Som nevnt tidligere, brukes ulike teknologier for å sjekke og videresende kun legitim post.

2. Teoretisk opplæring av personell. Den består av omfattende testing av personell for å identifisere potensielle ofre. Deretter omskoleres de og statistikk registreres hele tiden.   

Ikke stol på og sjekk

I dag skal vi snakke om den andre tilnærmingen for å forhindre phishing-angrep, nemlig automatisert personellopplæring for å øke det generelle sikkerhetsnivået for bedrifts- og personopplysninger. Hvorfor kan dette være så farlig?

sosial ingeniørkunst — psykologisk manipulasjon av mennesker for å utføre visse handlinger eller avsløre konfidensiell informasjon (i forhold til informasjonssikkerhet).

Diagram over et typisk phishing-angrep distribusjonsscenario

La oss ta en titt på et morsomt flytskjema som kort skisserer reisen til en phishing-kampanje. Den har forskjellige stadier:

1. Innsamling av primærdata.

   I det 21. århundre er det vanskelig å finne en person som ikke er registrert på noe sosialt nettverk eller på ulike tematiske fora. Naturligvis legger mange av oss igjen detaljert informasjon om oss selv: arbeidssted, gruppe for kolleger, telefon, post osv. Legg til denne personlig informasjon om en persons interesser, og du har dataene til å lage en phishing-mal. Selv om vi ikke kunne finne personer med slik informasjon, er det alltid et firmanettsted der vi kan finne all informasjonen vi er interessert i (domene-e-post, kontakter, forbindelser).

2. Lansering av kampanjen.

   Når du har et springbrett på plass, kan du bruke gratis eller betalte verktøy for å lansere din egen målrettede phishing-kampanje. Under e-postprosessen vil du samle statistikk: post levert, post åpnet, lenker klikket, legitimasjon angitt, etc.

Produkter på markedet

Phishing kan brukes av både angripere og bedriftens informasjonssikkerhetsansatte for å gjennomføre en løpende revisjon av ansattes atferd. Hva tilbyr markedet for gratis og kommersielle løsninger for det automatiserte opplæringssystemet for bedriftsansatte oss:

1. GoPhish er et åpen kildekode-prosjekt som lar deg distribuere en phishing-kampanje for å sjekke IT-kompetansen til dine ansatte. Jeg vil vurdere fordelene som enkel distribusjon og minimale systemkrav. Ulempene er mangel på ferdige postmaler, mangel på tester og opplæringsmateriell for personalet.

2. KnowBe4 — et nettsted med et stort antall tilgjengelige produkter for testpersonell.

3. Phishman — automatisert system for testing og opplæring av ansatte. Har ulike versjoner av produkter som støtter fra 10 til mer enn 1000 ansatte. Kursene inkluderer teori og praktiske oppgaver, det er mulig å identifisere behov basert på statistikken innhentet etter en phishing-kampanje. Løsningen er kommersiell med mulighet for prøvebruk.

4. Anti-phishing — automatisert opplærings- og sikkerhetsovervåkingssystem. Det kommersielle produktet tilbyr periodiske treningsangrep, opplæring av ansatte, etc. En kampanje tilbys som en demoversjon av produktet, som inkluderer utrulling av maler og gjennomføring av tre treningsangrep.

Ovennevnte løsninger er kun en del av de tilgjengelige produktene på markedet for automatisert personellopplæring. Selvfølgelig har hver sine fordeler og ulemper. I dag skal vi bli kjent med GoPhish, simuler et phishing-angrep og utforsk de tilgjengelige alternativene.

GoPhish

Så det er på tide å øve. GoPhish ble ikke valgt ved en tilfeldighet: det er et brukervennlig verktøy med følgende funksjoner:

1. Forenklet installasjon og oppstart.

2. REST API-støtte. Lar deg lage spørringer fra dokumentasjon og bruk automatiserte skript. 

3. Praktisk grafisk kontrollgrensesnitt.

4. Kryssplattform.

Utviklingsteamet har forberedt en utmerket guide om distribusjon og konfigurering av GoPhish. Faktisk er alt du trenger å gjøre å gå til oppbevaringssted, last ned ZIP-arkivet for det tilsvarende operativsystemet, kjør den interne binære filen, hvoretter verktøyet vil bli installert.

VIKTIG NOTAT!

Som et resultat bør du motta informasjon i terminalen om den distribuerte portalen, samt autorisasjonsdata (relevant for versjoner eldre enn versjon 0.10.1). Ikke glem å sikre deg et passord!

msg="Please login with the username admin and the password <ПАРОЛЬ>"

Forstå GoPhish-oppsettet

Etter installasjonen vil en konfigurasjonsfil (config.json) opprettes i applikasjonskatalogen. La oss beskrive parametrene for å endre det:

Ключ

Verdi (standard)

beskrivelse

admin_server.listen_url

127.0.0.1:3333

GoPhish-serverens IP-adresse

admin_server.use_tls

falsk

Brukes TLS for å koble til GoPhish-serveren

admin_server.cert_path

eksempel.crt

Sti til SSL-sertifikat for GoPhish admin portal

admin_server.key_path

eksempel.nøkkel

Sti til privat SSL-nøkkel

phish_server.listen_url

0.0.0.0:80

IP-adresse og port der phishing-siden er vert (som standard vert den på selve GoPhish-serveren på port 80)

—> Gå til administrasjonsportalen. I vårt tilfelle: https://127.0.0.1:3333

—> Du vil bli bedt om å endre et ganske langt passord til et enklere eller omvendt.

Opprette en avsenderprofil

Gå til "Sende profiler"-fanen og oppgi informasjon om brukeren som utsendelsen vår kommer fra:

Hvor:

Navn

Avsenders navn

Fra

Avsenderens e-post

Host

IP-adressen til e-postserveren som innkommende e-post vil bli lyttet til.

Brukernavn

E-postserver brukerkonto pålogging.

Passord

Passord for brukerkonto for e-postserver.

Du kan også sende en testmelding for å sikre leveringssuksess. Lagre innstillingene ved å bruke "Lagre profil"-knappen.

Opprette en gruppe med mottakere

Deretter bør du danne en gruppe "kjedebrev"-mottakere. Gå til "Bruker og grupper" → "Ny gruppe". Det er to måter å legge til: manuelt eller importere en CSV-fil.

Den andre metoden krever følgende obligatoriske felt:

• Fornavn

• Etternavn

• Epost

• Stilling

Som et eksempel:

First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]

Opprette en e-postmal for phishing

Når vi har identifisert den imaginære angriperen og potensielle ofre, må vi lage en mal med et budskap. For å gjøre dette, gå til delen "E-postmaler" → "Nye maler".

Når man danner en mal, brukes en teknisk og kreativ tilnærming; en melding fra tjenesten bør spesifiseres som vil være kjent for offerbrukerne eller vil forårsake en viss reaksjon. Mulige alternativer:

Navn

Malnavn

Emne

Brevemne

Tekst / HTML

Felt for å skrive inn tekst eller HTML-kode

Gophish støtter import av bokstaver, men vi lager våre egne. For å gjøre dette simulerer vi et scenario: en bedriftsbruker mottar et brev som ber ham endre passordet fra bedriftens e-post. La oss deretter analysere reaksjonen hans og se på "fangsten vår".

Vi vil bruke innebygde variabler i malen. Flere detaljer finner du ovenfor guide seksjon Malreferanse.

La oss først laste inn følgende tekst:

{{.FirstName}},

The password for {{.Email}} has expired. Please reset your password here.

Thanks,
IT Team

Følgelig vil brukerens navn automatisk legges inn (i henhold til det tidligere spesifiserte elementet "Ny gruppe") og hans postadresse vil bli angitt.

Deretter bør vi gi en lenke til vår phishing-ressurs. For å gjøre dette, marker ordet "her" i teksten og velg alternativet "Link" på kontrollpanelet.

Vi setter nettadressen til den innebygde variabelen {{.URL}}, som vi fyller ut senere. Det blir automatisk integrert i teksten til phishing-e-posten.

Før du lagrer malen, ikke glem å aktivere alternativet "Legg til sporingsbilde". Dette vil legge til et 1x1 piksel medieelement som vil spore om brukeren har åpnet e-posten.

Så det er ikke mye igjen, men først vil vi oppsummere de nødvendige trinnene etter å ha logget inn på Gophish-portalen: 

1. Opprett en avsenderprofil;

2. Lag en distribusjonsgruppe der du spesifiserer brukere;

3. Lag en phishing-e-postmal.

Enig, oppsettet tok ikke mye tid og vi er nesten klare til å lansere kampanjen vår. Alt som gjenstår er å legge til en phishing-side.

Opprette en phishing-side

Gå til fanen "Landingssider".

Vi vil bli bedt om å spesifisere navnet på objektet. Det er mulig å importere kildesiden. I vårt eksempel prøvde jeg å spesifisere den fungerende nettportalen til e-postserveren. Følgelig ble den importert som HTML-kode (om enn ikke fullstendig). Følgende er interessante alternativer for å fange brukerinndata:

• Registrer innsendte data. Hvis den angitte sidesiden inneholder ulike inndataskjemaer, vil alle data bli registrert.

• Capture Passwords - fange opp innlagte passord. Data skrives til GoPhish-databasen uten kryptering, som de er.

I tillegg kan vi bruke alternativet "Omdirigere til", som vil omdirigere brukeren til en spesifisert side etter å ha skrevet inn legitimasjon. La meg minne deg på at vi har satt et scenario der brukeren blir bedt om å endre passordet for bedriftens e-post. For å gjøre dette blir han tilbudt en falsk postautorisasjonsportalside, hvoretter brukeren kan sendes til enhver tilgjengelig bedriftsressurs.

Ikke glem å lagre den fullførte siden og gå til delen "Ny kampanje".

Lansering av GoPhish-fiske

Vi har gitt all nødvendig informasjon. I «Ny kampanje»-fanen oppretter du en ny kampanje.

Lansering av kampanje

Hvor:

Navn

Kampanjenavn

E-postmal

Meldingsmal

Landing Page

Phishing-side

URL

IP-adressen til GoPhish-serveren din (må ha nettverkstilgang med offerets vert)

Lanseringsdato

Kampanjens startdato

Send e-poster med

Kampanjens sluttdato (utsendelser jevnt fordelt)

Sender profil

Avsenderprofil

Grupper

Utsendelsesmottakergruppe

Etter starten kan vi alltid gjøre oss kjent med statistikken, som indikerer: sendte meldinger, åpnede meldinger, klikk på lenker, venstre data overført til spam.

Fra statistikken ser vi at 1 melding ble sendt, la oss sjekke e-posten fra mottakerens side:

Faktisk mottok offeret en phishing-e-post der han ba ham følge en lenke for å endre passordet til bedriftskontoen. Vi utfører de forespurte handlingene, vi blir sendt til landingssidene, hva med statistikken?

Som et resultat klikket brukeren vår på en phishing-lenke, hvor han potensielt kunne legge igjen kontoinformasjonen sin.

Forfatterens notat: dataregistreringsprosessen ble ikke registrert på grunn av bruken av et testoppsett, men et slikt alternativ finnes. Innholdet er imidlertid ikke kryptert og lagres i GoPhish-databasen, husk dette.

I stedet for en konklusjon

I dag kom vi inn på det aktuelle emnet å gjennomføre automatisert opplæring for ansatte for å beskytte dem mot phishing-angrep og utvikle IT-kompetanse hos dem. Gophish ble distribuert som en rimelig løsning, som viste gode resultater når det gjelder utplasseringstid og resultat. Med dette tilgjengelige verktøyet kan du revidere dine ansatte og generere rapporter om deres oppførsel. Hvis du er interessert i dette produktet, tilbyr vi hjelp til å distribuere det og revidere dine ansatte ([e-postbeskyttet]).

Vi kommer imidlertid ikke til å stoppe ved å gjennomgå én løsning og planlegger å fortsette syklusen, hvor vi vil snakke om Enterprise-løsninger for automatisering av opplæringsprosessen og overvåking av ansattes sikkerhet. Bli hos oss og vær på vakt!

Kilde: www.habr.com