Obecnie administrator sieci lub inżynier bezpieczeństwa informacji spędza dużo czasu i wysiłku, aby chronić obwód sieci korporacyjnej przed różnymi zagrożeniami, opracowując nowe systemy zapobiegania i monitorowania zdarzeń, ale nawet to nie gwarantuje całkowitego bezpieczeństwa. Inżynieria społeczna jest aktywnie wykorzystywana przez atakujących i może mieć poważne konsekwencje.
Jak często łapałeś się na myśleniu: „Byłoby miło zorganizować dla personelu test dotyczący znajomości bezpieczeństwa informacji”? Niestety, myśli natrafiają na ścianę nieporozumień w postaci dużej liczby zadań lub ograniczonego czasu w dniu pracy. Planujemy opowiedzieć Państwu o nowoczesnych produktach i technologiach z zakresu automatyzacji szkolenia personelu, które nie będą wymagały długich szkoleń do pilotażu czy wdrożenia, ale o wszystkim w porządku.
Podstawą teoretyczną
Obecnie ponad 80% szkodliwych plików jest dystrybuowanych za pośrednictwem poczty elektronicznej (dane pochodzą z raportów specjalistów Check Point z ostatniego roku korzystających z usługi Intelligence Reports).
Raport za ostatnie 30 dni dotyczący wektora ataków na dystrybucję szkodliwych plików (Rosja) – Check Point
Sugeruje to, że treść wiadomości e-mail jest dość podatna na wykorzystanie przez osoby atakujące. Jeśli weźmiemy pod uwagę najpopularniejsze formaty szkodliwych plików w załącznikach (EXE, RTF, DOC), warto zauważyć, że z reguły zawierają one automatyczne elementy wykonywania kodu (skrypty, makra).
Raport roczny dotyczący formatów plików w otrzymanych szkodliwych wiadomościach – Check Point
Jak sobie poradzić z tym wektorem ataku? Sprawdzanie poczty wymaga użycia narzędzi bezpieczeństwa:
-
antywirusowe — wykrywanie sygnatur zagrożeń.
-
Współzawodnictwo - piaskownica, za pomocą której otwierane są załączniki w izolowanym środowisku.
-
Świadomość treści — wyodrębnianie aktywnych elementów z dokumentów. Użytkownik otrzymuje oczyszczony dokument (najczęściej w formacie PDF).
-
Anty spam — sprawdzanie reputacji domeny odbiorcy/nadawcy.
I teoretycznie to wystarczy, ale dla firmy istnieje inny, równie cenny zasób - dane korporacyjne i osobowe pracowników. W ostatnich latach aktywnie rośnie popularność następujących rodzajów oszustw internetowych:
Wyłudzanie informacji (angielski phishing, od wędkarstwa - wędkarstwo, wędkarstwo) - rodzaj oszustwa internetowego. Jego celem jest uzyskanie danych identyfikacyjnych użytkownika. Obejmuje to kradzież haseł, numerów kart kredytowych, kont bankowych i innych poufnych informacji.
Atakujący udoskonalają metody ataków phishingowych, przekierowując żądania DNS z popularnych witryn i uruchamiając całe kampanie, wykorzystując socjotechnikę do wysyłania e-maili.
Dlatego, aby chronić firmową pocztę e-mail przed phishingiem, zaleca się stosowanie dwóch podejść, a ich łączne zastosowanie daje najlepsze rezultaty:
-
Narzędzia ochrony technicznej. Jak wspomniano wcześniej, do sprawdzania i przekazywania wyłącznie legalnej poczty wykorzystywane są różne technologie.
-
Szkolenie teoretyczne personelu. Polega na kompleksowym badaniu personelu w celu zidentyfikowania potencjalnych ofiar. Następnie są przeszkoleni, a statystyki są stale rejestrowane.
Nie ufaj i sprawdź
Dzisiaj porozmawiamy o drugim podejściu do zapobiegania atakom phishingowym, a mianowicie o automatycznym szkoleniu personelu w celu zwiększenia ogólnego poziomu bezpieczeństwa danych firmowych i osobistych. Dlaczego to może być takie niebezpieczne?
Inżynieria społeczna — psychologiczna manipulacja ludźmi w celu dokonania określonych czynności lub ujawnienia informacji poufnych (w związku z bezpieczeństwem informacji).
Schemat typowego scenariusza wdrożenia ataku phishingowego
Przyjrzyjmy się zabawnemu schematowi blokowemu, który pokrótce przedstawia przebieg kampanii phishingowej. Ma różne etapy:
-
Gromadzenie danych pierwotnych.
W XXI wieku trudno znaleźć osobę, która nie jest zarejestrowana na żadnym portalu społecznościowym ani na różnych forach tematycznych. Naturalnie wielu z nas zostawia szczegółowe informacje o sobie: miejsce aktualnej pracy, grupa dla współpracowników, telefon, poczta itp. Dodaj do tego spersonalizowane informacje o zainteresowaniach danej osoby i masz dane do stworzenia szablonu phishingowego. Nawet jeśli nie udało nam się znaleźć osób posiadających takie informacje, zawsze istnieje strona firmowa, na której znajdziemy wszystkie interesujące nas informacje (adres domeny, kontakty, połączenia).
-
Rozpoczęcie kampanii.
Gdy już masz już odskocznię, możesz skorzystać z bezpłatnych lub płatnych narzędzi, aby uruchomić własną ukierunkowaną kampanię phishingową. Podczas procesu wysyłki będziesz gromadzić statystyki: dostarczona poczta, otwarta poczta, kliknięte linki, wprowadzone dane uwierzytelniające itp.
Produkty na rynku
Phishing może zostać wykorzystany zarówno przez atakujących, jak i pracowników zajmujących się bezpieczeństwem informacji firmy w celu przeprowadzenia bieżącego audytu zachowań pracowników. Co oferuje nam rynek bezpłatnych i komercyjnych rozwiązań z zakresu zautomatyzowanego systemu szkoleń pracowników firm:
-
to projekt typu open source, który umożliwia wdrożenie kampanii phishingowej w celu sprawdzenia umiejętności informatycznych Twoich pracowników. Za zalety uznałbym łatwość wdrożenia i minimalne wymagania systemowe. Wadą jest brak gotowych szablonów mailingowych, brak testów i materiałów szkoleniowych dla personelu.
-
— strona z dużą liczbą dostępnych produktów dla personelu testującego.
-
— zautomatyzowany system testowania i szkolenia pracowników. Posiada różne wersje produktów obsługujących od 10 do ponad 1000 pracowników. Szkolenia obejmują teorię i zadania praktyczne, a potrzeby można zidentyfikować na podstawie statystyk uzyskanych po kampanii phishingowej. Rozwiązanie ma charakter komercyjny z możliwością próbnego wykorzystania.
-
— zautomatyzowany system szkolenia i monitorowania bezpieczeństwa. Produkt komercyjny oferuje okresowe ataki szkoleniowe, szkolenia pracowników itp. Kampania oferowana jest w wersji demonstracyjnej produktu, która obejmuje wdrożenie szablonów i przeprowadzenie trzech ataków szkoleniowych.
Powyższe rozwiązania to tylko część produktów dostępnych na rynku zautomatyzowanych szkoleń personelu. Oczywiście każdy ma swoje zalety i wady. Dziś się zapoznamy , symuluj atak typu phishing i zapoznaj się z dostępnymi opcjami.
GoPhish
Czas więc poćwiczyć. GoPhish nie został wybrany przypadkowo: to przyjazne dla użytkownika narzędzie posiadające następujące funkcje:
-
Uproszczona instalacja i uruchomienie.
-
Obsługa API REST. Umożliwia tworzenie zapytań z i stosuj zautomatyzowane skrypty.
-
Wygodny graficzny interfejs sterowania.
-
Wieloplatformowy.
Zespół programistów przygotował doskonałe dotyczące wdrażania i konfigurowania GoPhish. Tak naprawdę wszystko, co musisz zrobić, to udać się do , pobierz archiwum ZIP dla odpowiedniego systemu operacyjnego, uruchom wewnętrzny plik binarny, po czym narzędzie zostanie zainstalowane.
WAŻNA UWAGA!
W rezultacie powinieneś otrzymać w terminalu informację o wdrożonym portalu, a także dane autoryzacyjne (dotyczy wersji starszych niż wersja 0.10.1). Nie zapomnij zabezpieczyć sobie hasła!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Zrozumienie konfiguracji GoPhish
Po instalacji w katalogu aplikacji zostanie utworzony plik konfiguracyjny (config.json). Opiszmy parametry umożliwiające jego zmianę:
klucz
Wartość (domyślna)
Opis
admin_server.listen_url
127.0.0.1:3333
Adres IP serwera GoPhish
serwer_administracyjny.use_tls
fałszywy
Czy TLS jest używany do łączenia się z serwerem GoPhish?
serwer_administracyjny.ścieżka_certyfikatu
przykład.crt
Ścieżka do certyfikatu SSL dla portalu administracyjnego GoPhish
serwer_administracyjny.ścieżka_klucza
przykład.klucz
Ścieżka do prywatnego klucza SSL
phish_server.listen_url
0.0.0.0:80
Adres IP i port, na którym hostowana jest strona phishingowa (domyślnie jest ona hostowana na samym serwerze GoPhish na porcie 80)
-> Przejdź do portalu zarządzania. W naszym przypadku: https://127.0.0.1:3333
—> Zostaniesz poproszony o zmianę dość długiego hasła na prostsze i odwrotnie.
Tworzenie profilu nadawcy
Przejdź do zakładki „Profile wysyłające” i podaj informacje o użytkowniku, od którego będzie pochodził nasz mailing:
Gdzie:
Imię
Imię nadawcy
Cena Od
Adres e-mail nadawcy
Gospodarz
Adres IP serwera pocztowego, z którego będzie odbierana poczta przychodząca.
Użytkownik
Logowanie do konta użytkownika serwera pocztowego.
Hasło
Hasło do konta użytkownika serwera pocztowego.
Możesz także wysłać wiadomość testową, aby upewnić się, że dostawa została pomyślnie dostarczona. Zapisz ustawienia za pomocą przycisku „Zapisz profil”.
Tworzenie grupy odbiorców
Następnie należy utworzyć grupę odbiorców „łańcuszków”. Przejdź do „Użytkownik i grupy” → „Nowa grupa”. Dodawać można na dwa sposoby: ręcznie lub importując plik CSV.
Druga metoda wymaga następujących wymaganych pól:
-
Imię
-
Nazwisko
-
E-mail
-
Pozycja
Jako przykład:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Tworzenie szablonu wiadomości e-mail phishingowej
Po zidentyfikowaniu wyimaginowanego napastnika i potencjalnych ofiar musimy stworzyć szablon z wiadomością. Aby to zrobić, przejdź do sekcji „Szablony e-maili” → „Nowe szablony”.
Tworząc szablon, stosuje się podejście techniczne i kreatywne, należy określić wiadomość z usługi, która będzie znana użytkownikom będącym ofiarami lub wywoła u nich określoną reakcję. Możliwe opcje:
Imię
Nazwa szablonu
Temat
Temat listu
Tekst / HTML
Pole do wpisania tekstu lub kodu HTML
Gophish obsługuje importowanie liter, ale stworzymy własne. W tym celu symulujemy scenariusz: użytkownik firmowy otrzymuje list z prośbą o zmianę hasła z firmowego adresu e-mail. Następnie przeanalizujmy jego reakcję i przyjrzyjmy się naszemu „haczykowi”.
W szablonie wykorzystamy zmienne wbudowane. Więcej szczegółów znajdziesz w powyższym sekcja .
Najpierw załadujmy następujący tekst:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamOdpowiednio automatycznie zostanie wpisana nazwa użytkownika (zgodnie z wcześniej określoną pozycją „Nowa grupa”) i wskazany zostanie jego adres pocztowy.
Następnie powinniśmy podać link do naszego zasobu phishingowego. Aby to zrobić, zaznacz w tekście słowo „tutaj” i wybierz opcję „Link” w panelu sterowania.
Ustawimy adres URL na wbudowaną zmienną {{.URL}}, którą uzupełnimy później. Zostanie on automatycznie osadzony w tekście wiadomości e-mail phishingowej.
Przed zapisaniem szablonu nie zapomnij włączyć opcji „Dodaj obraz śledzący”. Spowoduje to dodanie elementu multimedialnego o wymiarach 1 x 1 piksel, który będzie śledzić, czy użytkownik otworzył wiadomość e-mail.
Niewiele więc zostało, ale najpierw podsumujmy kroki wymagane po zalogowaniu się do portalu Gophish:
-
Utwórz profil nadawcy;
-
Utwórz grupę dystrybucyjną, w której określisz użytkowników;
-
Utwórz szablon wiadomości e-mail dotyczącej phishingu.
Zgadzam się, konfiguracja nie zajęła dużo czasu i jesteśmy prawie gotowi do uruchomienia naszej kampanii. Pozostaje tylko dodać stronę phishingową.
Tworzenie strony phishingowej
Przejdź do zakładki „Strony docelowe”.
Zostaniemy poproszeni o podanie nazwy obiektu. Istnieje możliwość importu strony źródłowej. W naszym przykładzie próbowałem określić działający portal internetowy serwera pocztowego. W związku z tym został zaimportowany jako kod HTML (choć nie w całości). Poniżej znajdują się interesujące opcje przechwytywania danych wejściowych użytkownika:
-
Przechwytuj przesłane dane. Jeśli określona strona witryny zawiera różne formularze wejściowe, wówczas wszystkie dane zostaną zapisane.
-
Przechwytuj hasła - przechwytuj wprowadzone hasła. Dane są zapisywane w bazie danych GoPhish bez szyfrowania.
Dodatkowo możemy skorzystać z opcji „Przekieruj do”, która po podaniu danych uwierzytelniających przekieruje użytkownika na określoną stronę. Przypomnę, że ustaliliśmy scenariusz, w którym użytkownik jest proszony o zmianę hasła do firmowej poczty e-mail. Aby to zrobić, oferowana jest mu fałszywa strona portalu autoryzacji poczty, po której użytkownik może zostać wysłany do dowolnego dostępnego zasobu firmy.
Nie zapomnij zapisać wypełnionej strony i przejść do sekcji „Nowa kampania”.
Uruchomienie wędkarstwa GoPhish
Przekazaliśmy wszystkie niezbędne informacje. W zakładce „Nowa kampania” utwórz nową kampanię.
Uruchom kampanię
Gdzie:
Imię
Nazwa kampanii
Szablon e-maila
Szablon wiadomości
Landing Page
Strona phishingowa
URL
Adres IP Twojego serwera GoPhish (musi mieć zasięg sieciowy z hostem ofiary)
Data wprowadzenia
Data rozpoczęcia kampanii
Wysyłaj e-maile przez
Data zakończenia kampanii (mailing rozłożony równomiernie)
Wysyłanie profilu
Profil nadawcy
Grupy
Grupa odbiorców mailingu
Po uruchomieniu zawsze możemy zapoznać się ze statystykami, które wskazują: wysłane wiadomości, otwarte wiadomości, kliknięcia w linki, pozostawione dane przesłane do spamu.
Ze statystyk wynika, że wysłano 1 wiadomość, sprawdźmy pocztę od strony odbiorcy:
Rzeczywiście, ofiara pomyślnie otrzymała wiadomość e-mail phishingową z prośbą o skorzystanie z łącza umożliwiającego zmianę hasła do konta firmowego. Wykonujemy zlecone działania, trafiamy na Landing Pages, co ze statystykami?
W rezultacie nasz użytkownik kliknął link phishingowy, gdzie mógł potencjalnie zostawić informacje o swoim koncie.
Notka autora: proces wprowadzania danych nie został zarejestrowany ze względu na zastosowanie układu testowego, ale istnieje taka możliwość. Treść nie jest jednak szyfrowana i jest przechowywana w bazie danych GoPhish, należy o tym pamiętać.
Zamiast zawierania
Dzisiaj poruszyliśmy aktualny temat prowadzenia zautomatyzowanych szkoleń dla pracowników w celu ochrony ich przed atakami phishingowymi i rozwijania w nich kompetencji informatycznych. Gophish został wdrożony jako niedrogie rozwiązanie, które wykazało dobre wyniki pod względem czasu wdrożenia i wyników. Dzięki temu przystępnemu narzędziu możesz audytować swoich pracowników i generować raporty dotyczące ich zachowań. Jeśli jesteś zainteresowany tym produktem, oferujemy pomoc we wdrożeniu i audycie Twoich pracowników ([email chroniony]).
Nie poprzestaniemy jednak na recenzji jednego rozwiązania i planujemy kontynuację cyklu, w którym omówimy rozwiązania Enterprise służące do automatyzacji procesu szkoleń i monitorowania bezpieczeństwa pracowników. Bądźcie z nami i bądźcie czujni!
Źródło: www.habr.com