Hoje, um administrador de rede ou um engenheiro de segurança da informação gasta muito tempo e esforço para proteger o perímetro de uma rede corporativa de várias ameaças, domina novos sistemas de prevenção e monitoramento de eventos, mas mesmo isso não garante total segurança. A engenharia social é usada ativamente por invasores e pode ter sérias consequências.
Quantas vezes você já se pegou pensando: “Seria bom providenciar um cheque para a equipe de alfabetização em segurança da informação”? Infelizmente, os pensamentos se deparam com uma parede de mal-entendidos na forma de um grande número de tarefas ou do tempo limitado da jornada de trabalho. Planejamos falar sobre produtos e tecnologias modernas na área de automação de treinamento de pessoal, que não exigirão uma longa preparação para pilotagem ou implementação, mas as primeiras coisas primeiro.
Fundamentação teórica
Hoje, mais de 80% dos arquivos maliciosos são distribuídos por correio (dados retirados dos relatórios dos especialistas da Check Point no ano passado usando o serviço Intelligence Reports).
Relatório de vetor de ataque de arquivo malicioso (Rússia) - Check Point
Isso sugere que o conteúdo das mensagens de e-mail é vulnerável o suficiente para ser explorado por invasores. Se considerarmos os formatos de arquivos maliciosos mais populares em anexos (EXE, RTF, DOC), vale a pena notar que eles geralmente contêm elementos de execução automática de código (scripts, macros).
Relatório Anual sobre Formatos de Arquivo em Mensagens Maliciosas Recebidas - Check Point
Como lidar com esse vetor de ataque? A verificação de e-mail está usando ferramentas de segurança:
-
antivirus — Detecção de assinatura de ameaças.
-
Emulação - uma sandbox com a qual os anexos são abertos em um ambiente isolado.
-
Conhecimento de conteúdo — extração de elementos ativos de documentos. O usuário recebe um documento limpo (geralmente em formato PDF).
-
AntiSpam - verificar o domínio do destinatário / remetente quanto à reputação.
E, em teoria, isso basta, mas existe outro recurso igualmente valioso para a empresa - dados corporativos e pessoais dos funcionários. Nos últimos anos, a popularidade do seguinte tipo de fraude na Internet tem crescido ativamente:
Phishing (Phishing em inglês, de pesca - pesca, pesca) - um tipo de fraude na Internet. Sua finalidade é obter dados de identificação do usuário. Isso inclui roubar senhas, números de cartão de crédito, contas bancárias e outras informações confidenciais.
Os invasores estão aperfeiçoando ataques de phishing, redirecionando solicitações de DNS de sites populares e implantando campanhas inteiras usando engenharia social para enviar e-mails.
Assim, para proteger seu e-mail corporativo contra phishing, duas abordagens são recomendadas e usá-las juntas leva aos melhores resultados:
-
Ferramentas técnicas de proteção. Conforme mencionado anteriormente, várias tecnologias são usadas para verificar e encaminhar apenas emails legítimos.
-
Treinamento teórico de pessoal. Consiste em testes abrangentes de pessoal para identificar possíveis vítimas. Além disso, eles são treinados novamente, as estatísticas são registradas constantemente.
Não confie e verifique
Hoje falaremos sobre a segunda abordagem para prevenir ataques de phishing, ou seja, treinamento automatizado de pessoal para aumentar o nível geral de segurança dos dados corporativos e pessoais. Por que pode ser tão perigoso?
Engenharia social - manipulação psicológica de pessoas para realizar determinadas ações ou divulgar informações confidenciais (em relação à segurança da informação).
Diagrama de um cenário típico de implantação de ataque de phishing
Vamos dar uma olhada em um fluxograma divertido que descreve brevemente o caminho para promover uma campanha de phishing. Tem diferentes fases:
-
Coleta de dados primários.
Em pleno século XXI é difícil encontrar uma pessoa que não esteja cadastrada em nenhuma rede social ou em diversos fóruns temáticos. Naturalmente, muitos de nós deixamos informações detalhadas sobre nós mesmos: local de trabalho atual, grupo para colegas, telefone, correio, etc. Adicione a isso informações personalizadas sobre os interesses de uma pessoa e você terá os dados para formar um modelo de phishing. Mesmo que não tenha sido possível encontrar pessoas com essa informação, existe sempre um site da empresa onde pode encontrar toda a informação que nos interessa (mail do domínio, contactos, ligações).
-
Lançamento da campanha.
Depois que o ponto de apoio estiver configurado, você poderá lançar sua própria campanha de phishing direcionada usando ferramentas gratuitas ou pagas. No decorrer da lista de discussão, você acumulará estatísticas: correspondência entregue, correspondência aberta, clique em links, inserção de credenciais, etc.
Produtos no mercado
O phishing pode ser usado tanto por cibercriminosos quanto por funcionários da segurança da informação da empresa para conduzir uma auditoria contínua do comportamento dos funcionários. O que o mercado nos oferece de soluções gratuitas e comerciais para um sistema de treinamento automatizado para funcionários de empresas:
-
é um projeto de código aberto que permite implantar uma empresa de phishing para verificar a alfabetização de TI de seus funcionários. As vantagens incluem facilidade de implantação e requisitos mínimos de sistema. As desvantagens são a falta de modelos de correspondência prontos, a falta de testes e materiais de treinamento para a equipe.
-
— uma plataforma com um grande número de produtos disponíveis para testes de pessoal.
-
— um sistema automatizado para testar e treinar funcionários. Possui diferentes versões de produtos atendendo de 10 a mais de 1000 funcionários. Os cursos de treinamento incluem teoria e tarefas práticas, é possível identificar necessidades com base nas estatísticas obtidas após a campanha de phishing. A solução é comercial com possibilidade de uso experimental.
-
— sistema automatizado de treinamento e controle de segurança. Um produto comercial oferece ataques simulados periódicos, treinamento de funcionários, etc. Como versão de demonstração do produto, é oferecida uma campanha que inclui a implantação de modelos e a realização de três ataques de treinamento.
As soluções acima são apenas uma parte dos produtos disponíveis no mercado de treinamento automatizado de pessoal. Claro, cada um tem suas próprias vantagens e desvantagens. Hoje vamos conhecer , simule um ataque de phishing, explore as opções disponíveis.
Go Phish
Então, é hora de praticar. O GoPhish não foi escolhido por acaso: é uma ferramenta amigável com as seguintes características:
-
Instalação e inicialização simplificadas.
-
Suporte à API REST. Permite gerar solicitações de e aplicar scripts automatizados.
-
Interface gráfica do usuário conveniente.
-
Plataforma cruzada.
A equipe de desenvolvimento preparou um excelente na implantação e configuração do GoPhish. Na verdade, você só precisa ir para , baixe o arquivo ZIP para o sistema operacional correspondente, execute o arquivo binário interno, após o qual a ferramenta será instalada.
NOTA IMPORTANTE!
Como resultado, você deve receber informações sobre o portal implantado no terminal, bem como dados para autorização (relevantes para versões anteriores à versão 0.10.1). Não esqueça de salvar sua senha!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Compreendendo a configuração do GoPhish
Após a instalação, um arquivo de configuração (config.json) será criado no diretório do aplicativo. Vamos descrever os parâmetros para alterá-lo:
Ключ
Valor (padrão)
descrição
admin_server.listen_url
127.0.0.1:3333
Endereço IP do servidor GoPhish
admin_server.use_tls
falso
O TLS é usado para se conectar ao servidor GoPhish
admin_server.cert_path
exemplo.crt
Caminho para o certificado SSL do GoPhish Admin Portal
admin_server.key_path
exemplo.chave
Caminho para a chave SSL privada
phish_server.listen_url
0.0.0.0:80
Página de phishing hospedando endereço IP e porta (hospedada no próprio servidor GoPhish na porta 80 por padrão)
—> Aceda ao portal de gestão. No nosso caso: https://127.0.0.1:3333
-> Você será solicitado a alterar uma senha suficientemente longa para uma mais simples ou vice-versa.
Criando um perfil de remetente
Vá para a guia "Perfis de envio" e especifique os dados sobre o usuário de quem nosso e-mail será enviado:
Em que:
Nome
Nome do remetente
De
e-mail do remetente
Proprietário
O endereço IP do servidor de correio do qual o correio recebido será ouvido.
Nome de Utilizador
Login da conta de usuário do servidor de correio.
Senha
A senha para a conta de usuário do servidor de correio.
Você também pode enviar uma mensagem de teste para garantir que a entrega foi bem-sucedida. Salve as configurações usando o botão "Salvar perfil".
Criar um grupo de destino
Em seguida, você deve formar um grupo de destinatários de “cartas de felicidade”. Vá para “Usuários e grupos” → “Novo grupo”. Existem duas maneiras de adicionar: manualmente ou importando um arquivo CSV.
O segundo método requer a presença de campos obrigatórios:
-
Nome
-
Sobrenome
-
E-mail
-
Posição
Como um exemplo:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Crie um modelo de e-mail de phishing
Depois de identificarmos o invasor imaginário e as vítimas em potencial, precisamos criar um modelo de mensagem. Para fazer isso, vá para a seção “Modelos de e-mail” → “Novos modelos”.
Ao formar um modelo, uma abordagem técnica e criativa é usada, você deve especificar uma mensagem do serviço que será familiar para os usuários vítimas ou causará uma certa reação. Opções possíveis:
Nome
Nome do modelo
Assunto
Linha de assunto
Texto / HTML
Campo para inserir texto ou código HTML
O Gophish oferece suporte à importação de e-mail, mas criaremos o nosso próprio. Para isso, simulamos um cenário: um usuário da empresa recebe uma carta com a proposta de alteração da senha de seu e-mail corporativo. A seguir, analisamos sua reação e olhamos para nossa “captura”.
Usaremos variáveis internas no modelo. Mais detalhes podem ser encontrados no acima seção .
Primeiro, vamos carregar o seguinte texto:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamAssim, o nome do usuário será substituído automaticamente (conforme o item “Novo Grupo” previamente definido) e seu endereço postal será indicado.
Em seguida, devemos fornecer um link para nosso recurso de phishing. Para isso, selecione a palavra “aqui” no texto e selecione a opção “Link” no painel de controle.
Como URL, especificaremos a variável interna {{.URL}}, que preencheremos posteriormente. Ele será incorporado automaticamente no corpo do e-mail de phishing.
Não se esqueça de ativar a opção "Adicionar imagem de rastreamento" antes de salvar o modelo. Isso adicionará um elemento de mídia de 1 x 1 pixel que rastreará quando o usuário abrir o e-mail.
Portanto, não resta muito, mas primeiro resumimos as etapas necessárias após a autorização no portal Gophish:
-
Crie um perfil de remetente;
-
Crie um grupo de distribuição onde especificar usuários;
-
Crie um modelo de e-mail de phishing.
Concordo, a configuração não demorou muito e estamos quase prontos para lançar nossa campanha. Resta adicionar uma página de phishing.
Criando uma página de phishing
Vá para a guia "Páginas de destino".
Seremos solicitados a especificar o nome do objeto. É possível importar o site de origem. Em nosso exemplo, tentei especificar um portal da Web de servidor de correio em funcionamento. Assim, foi importado como código HTML (embora não completamente). A seguir estão opções interessantes para capturar a entrada do usuário:
-
Capturar dados enviados. Se a página do site especificada contiver vários formulários de entrada, todos os dados serão registrados.
-
Senhas de captura - captura senhas inseridas. Os dados são gravados no banco de dados GoPhish sem criptografia, como estão.
Além disso, podemos usar a opção “Redirecionar para”, que redirecionará o usuário para a página especificada após inserir as credenciais. Deixe-me lembrá-lo de que definimos um cenário em que o usuário é solicitado a alterar a senha do correio corporativo. Para isso, é oferecida a ele uma página falsa do portal de autorização de e-mail, após a qual o usuário pode ser encaminhado para qualquer recurso disponível da empresa.
Não se esqueça de salvar a página preenchida e ir para a seção "Nova campanha".
Lançamento da pesca GoPhish
Fornecemos todas as informações necessárias. Na guia "Nova campanha", crie uma nova campanha.
Lançamento da campanha
Em que:
Nome
Nome da campanha
Email Template
Modelo de mensagem
Landing Page
página de phishing
URL
IP do seu servidor GoPhish (deve ter acessibilidade de rede com o host da vítima)
Data de lançamento
Data de início da campanha
Enviar e-mail por
Data de término da campanha (a correspondência é distribuída uniformemente)
Enviando perfil
perfil do remetente
Grupos
Grupo de destinatários de correspondência
Após o início, podemos sempre conhecer as estatísticas, que indicam: mensagens enviadas, mensagens abertas, cliques em links, dados deixados, transferência para spam.
Pelas estatísticas, vemos que 1 mensagem foi enviada, vamos verificar o e-mail do lado do destinatário:
De fato, a vítima recebeu com sucesso um e-mail de phishing solicitando que ela seguisse o link para alterar a senha da conta corporativa. Realizamos as ações solicitadas, somos enviados para a página Landing Pages, e as estatísticas?
Como resultado, nosso usuário seguiu um link de phishing onde poderia potencialmente deixar as informações de sua conta.
Nota do autor: o processo de entrada de dados não foi corrigido devido ao uso de um layout de teste, mas existe essa opção. Ao mesmo tempo, o conteúdo não é criptografado e é armazenado no banco de dados GoPhish, observe isso.
Em vez de uma conclusão
Hoje, abordamos a questão atual da realização de treinamento automatizado para funcionários, a fim de protegê-los de ataques de phishing e educá-los na alfabetização de TI. Como uma solução acessível, o Gophish foi implantado, com bom desempenho em termos de tempo de implantação até o resultado. Com esta ferramenta acessível, você pode verificar seus funcionários e gerar relatórios sobre seu comportamento. Se você estiver interessado neste produto, oferecemos assistência para implantá-lo e auditar seus funcionários ([email protegido]).
No entanto, não vamos parar na revisão de uma solução e planejamos continuar o ciclo, onde falaremos sobre soluções corporativas para automatizar o processo de aprendizado e monitorar a segurança dos funcionários. Fique conosco e fique atento!
Fonte: habr.com