1. Instruirea utilizatorilor în elementele de bază ale securității informațiilor. Luptă împotriva phishing-ului

Astăzi, un administrator de rețea sau un inginer de securitate a informațiilor cheltuie mult timp și efort pentru a proteja perimetrul unei rețele de întreprindere de diverse amenințări, stăpânind noi sisteme de prevenire și monitorizare a evenimentelor, dar nici măcar aceasta nu garantează securitatea completă. Ingineria socială este utilizată activ de atacatori și poate avea consecințe grave.

Cât de des v-ați surprins gândindu-vă: „Ar fi bine să aranjați un test pentru personalul privind alfabetizarea în domeniul securității informațiilor”? Din păcate, gândurile se lovesc de un zid de neînțelegere sub forma unui număr mare de sarcini sau timp limitat în ziua de lucru. Intenționăm să vă vorbim despre produse și tehnologii moderne în domeniul automatizării pregătirii personalului, care nu vor necesita o pregătire îndelungată pentru pilotare sau implementare, ci despre totul în regulă.

Fundamentul teoretic

Astăzi, peste 80% dintre fișierele rău intenționate sunt distribuite prin e-mail (date preluate din rapoartele specialiștilor Check Point din ultimul an folosind serviciul Rapoarte de informații).

Raport pentru ultimele 30 de zile asupra vectorului de atac pentru distribuirea fișierelor rău intenționate (Rusia) - Check Point

Acest lucru sugerează că conținutul mesajelor de e-mail este destul de vulnerabil la exploatarea de către atacatori. Dacă luăm în considerare cele mai populare formate de fișiere rău intenționate din atașamente (EXE, RTF, DOC), este de remarcat faptul că acestea, de regulă, conțin elemente automate de execuție a codului (scripturi, macro-uri).

Raport anual privind formatele de fișiere din mesajele rău intenționate primite - Check Point

Cum să faci față acestui vector de atac? Verificarea corespondenței implică utilizarea instrumentelor de securitate: 

• Antivirus — detectarea semnăturii amenințărilor.

• Emulație - o cutie de nisip cu care se deschid atasamentele intr-un mediu izolat.

• Conștientizarea conținutului — extragerea elementelor active din documente. Utilizatorul primește un document curățat (de obicei în format PDF).

• Anti spam — verificarea reputației domeniului destinatar/emițătorului.

Și, teoretic, acest lucru este suficient, dar există o altă resursă la fel de valoroasă pentru companie - datele corporative și personale ale angajaților. În ultimii ani, popularitatea următorului tip de fraudă pe internet a crescut activ:

phishing (phishing în engleză, de la pescuit - pescuit, pescuit) - un tip de fraudă pe internet. Scopul său este obținerea datelor de identificare a utilizatorului. Aceasta include furtul de parole, numere de card de credit, conturi bancare și alte informații sensibile.

Atacatorii îmbunătățesc metodele de atacuri de tip phishing, redirecționează solicitările DNS de pe site-uri populare și lansează campanii întregi folosind inginerie socială pentru a trimite e-mailuri. 

Astfel, pentru a vă proteja e-mailul corporativ de phishing, este recomandat să utilizați două abordări, iar utilizarea lor combinată duce la cele mai bune rezultate:

1. Instrumente tehnice de protecție. După cum am menționat mai devreme, diferite tehnologii sunt utilizate pentru a verifica și redirecționa numai corespondența legitimă.

2. Pregătirea teoretică a personalului. Constă în testarea cuprinzătoare a personalului pentru a identifica potențialele victime. Apoi sunt recalificați și statisticile sunt înregistrate în mod constant.   

Nu ai încredere și verifică

Astăzi vom vorbi despre a doua abordare a prevenirii atacurilor de tip phishing și anume instruirea automată a personalului pentru a crește nivelul general de securitate a datelor corporative și personale. De ce ar putea fi asta atât de periculos?

Inginerie sociala — manipularea psihologică a persoanelor pentru a efectua anumite acțiuni sau a dezvălui informații confidențiale (în legătură cu securitatea informațiilor).

Diagrama unui scenariu tipic de implementare a unui atac de phishing

Să aruncăm o privire asupra unei organigrame distractive care prezintă pe scurt călătoria unei campanii de phishing. Are diferite etape:

1. Colectarea datelor primare.

   În secolul 21, este greu să găsești o persoană care să nu fie înregistrată pe nicio rețea de socializare sau pe diverse forumuri tematice. Desigur, mulți dintre noi lăsăm informații detaliate despre noi înșine: locul de muncă curent, grup pentru colegi, telefon, poștă etc. Adăugați la acestea informații personalizate despre interesele unei persoane și aveți datele pentru a forma un șablon de phishing. Chiar dacă nu am putut găsi persoane cu astfel de informații, există întotdeauna un site web al companiei unde putem găsi toate informațiile care ne interesează (domeniu e-mail, contacte, conexiuni).

2. Lansarea campaniei.

   Odată ce aveți o platformă de lansare, puteți utiliza instrumente gratuite sau plătite pentru a vă lansa propria campanie de phishing. În timpul procesului de trimitere prin corespondență, veți acumula statistici: e-mail livrat, e-mail deschis, link-uri făcute clic, acreditări introduse etc.

Produse de pe piata

Phishingul poate fi folosit atât de atacatori, cât și de angajații companiei de securitate a informațiilor pentru a efectua un audit continuu al comportamentului angajaților. Ce ne oferă piața soluțiilor gratuite și comerciale pentru sistemul automatizat de instruire pentru angajații companiei:

1. GoPhish este un proiect open source care vă permite să implementați o campanie de phishing pentru a verifica cunoștințele IT ale angajaților dvs. Aș considera că avantajele sunt ușurința de implementare și cerințele minime de sistem. Dezavantajele sunt lipsa șabloanelor de corespondență gata făcute, lipsa testelor și a materialelor de instruire pentru personal.

2. KnowBe4 — un site cu un număr mare de produse disponibile pentru personalul de testare.

3. Phishman — sistem automatizat de testare și instruire a angajaților. Are diverse versiuni de produse care acceptă de la 10 la mai mult de 1000 de angajați. Cursurile de formare includ teme de teorie și practice, este posibilă identificarea nevoilor pe baza statisticilor obținute în urma unei campanii de phishing. Soluția este comercială cu posibilitatea utilizării de probă.

4. Antiphishing — sistem automatizat de instruire și monitorizare a securității. Produsul comercial oferă atacuri periodice de instruire, instruire angajaților etc. O campanie este oferită ca versiune demonstrativă a produsului, care include implementarea șabloanelor și efectuarea a trei atacuri de antrenament.

Soluțiile de mai sus sunt doar o parte din produsele disponibile pe piața de formare automată a personalului. Desigur, fiecare are propriile sale avantaje și dezavantaje. Astăzi ne vom familiariza GoPhish, simulați un atac de tip phishing și explorați opțiunile disponibile.

GoPhish

Deci, este timpul să exersați. GoPhish nu a fost ales întâmplător: este un instrument ușor de utilizat, cu următoarele caracteristici:

1. Instalare și pornire simplificate.

2. Suport API REST. Vă permite să creați interogări din documentație și aplicați scripturi automate. 

3. Interfață grafică convenabilă de control.

4. Multiplatformă.

Echipa de dezvoltare a pregătit un excelent гайд despre implementarea și configurarea GoPhish. De fapt, tot ce trebuie să faci este să mergi la repertoriu, descărcați arhiva ZIP pentru sistemul de operare corespunzător, rulați fișierul binar intern, după care instrumentul va fi instalat.

NOTĂ IMPORTANTĂ!

Ca urmare, ar trebui să primiți în terminal informații despre portalul implementat, precum și date de autorizare (relevante pentru versiunile mai vechi decât versiunea 0.10.1). Nu uitați să vă asigurați o parolă!

msg="Please login with the username admin and the password <ПАРОЛЬ>"

Înțelegerea configurației GoPhish

După instalare, un fișier de configurare (config.json) va fi creat în directorul aplicației. Să descriem parametrii pentru modificarea acestuia:

Ключ

Valoare (implicit)

descriere

admin_server.listen_url

127.0.0.1:3333

Adresa IP a serverului GoPhish

admin_server.use_tls

fals

Este utilizat TLS pentru a vă conecta la serverul GoPhish

admin_server.cert_path

exemplu.crt

Calea către certificatul SSL pentru portalul de administrare GoPhish

admin_server.key_path

exemplu.cheie

Calea către cheia SSL privată

phish_server.listen_url

0.0.0.0:80

Adresa IP și portul unde este găzduită pagina de phishing (în mod implicit este găzduită pe serverul GoPhish însuși pe portul 80)

—> Accesați portalul de management. În cazul nostru: https://127.0.0.1:3333

—> Vi se va cere să schimbați o parolă destul de lungă cu una mai simplă sau invers.

Crearea unui profil de expeditor

Accesați fila „Trimitere profiluri” și furnizați informații despre utilizatorul de la care provine corespondența noastră:

În cazul în care:

Nume si Prenume

Numele expeditorului

De la

E-mailul expeditorului

Gazdă

Adresa IP a serverului de e-mail de la care vor fi ascultate mesajele primite.

Nume de utilizator

Conectarea contului de utilizator al serverului de e-mail.

Parolă

Parola contului de utilizator al serverului de e-mail.

De asemenea, puteți trimite un mesaj de testare pentru a asigura succesul livrării. Salvați setările folosind butonul „Salvați profilul”.

Crearea unui grup de destinatari

În continuare, ar trebui să formați un grup de destinatari cu „scrisori în lanț”. Accesați „Utilizator și grupuri” → „Grup nou”. Există două moduri de a adăuga: manual sau importând un fișier CSV.

A doua metodă necesită următoarele câmpuri obligatorii:

• Prenume

• Nume

• E-mail

• Poziţie

Ca exemplu:

First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]

Crearea unui șablon de e-mail de phishing

Odată ce am identificat atacatorul imaginar și potențialele victime, trebuie să creăm un șablon cu un mesaj. Pentru a face acest lucru, accesați secțiunea „Șabloane de e-mail” → „Șabloane noi”.

La formarea unui șablon, se folosește o abordare tehnică și creativă, trebuie specificat un mesaj de la serviciu care va fi familiar utilizatorilor victime sau le va provoca o anumită reacție. Opțiuni posibile:

Nume si Prenume

Nume șablon

Subiect

Subiectul scrisorii

Text/HTML

Câmp pentru introducerea textului sau a codului HTML

Gophish acceptă importul de litere, dar le vom crea pe ale noastre. Pentru a face acest lucru, simulăm un scenariu: un utilizator al companiei primește o scrisoare prin care îi cere să schimbe parola din e-mailul său corporativ. În continuare, să analizăm reacția lui și să ne uităm la „captura”.

Vom folosi variabile încorporate în șablon. Mai multe detalii găsiți în cele de mai sus ghid În capitol Referință șablon.

Mai întâi, să încărcăm următorul text:

{{.FirstName}},

The password for {{.Email}} has expired. Please reset your password here.

Thanks,
IT Team

În consecință, numele utilizatorului va fi introdus automat (conform articolului „Grup nou” specificat anterior) și va fi indicată adresa poștală a acestuia.

În continuare, ar trebui să furnizăm un link către resursa noastră de phishing. Pentru a face acest lucru, evidențiați cuvântul „aici” din text și selectați opțiunea „Link” de pe panoul de control.

Vom seta adresa URL la variabila încorporată {{.URL}}, pe care o vom completa mai târziu. Acesta va fi încorporat automat în textul e-mailului de phishing.

Înainte de a salva șablonul, nu uitați să activați opțiunea „Adăugați imagine de urmărire”. Aceasta va adăuga un element media de 1x1 pixel care va urmări dacă utilizatorul a deschis e-mailul.

Deci, nu a mai rămas mult, dar mai întâi vom rezuma pașii necesari după conectarea la portalul Gophish: 

1. Creați un profil de expeditor;

2. Creați un grup de distribuție în care specificați utilizatori;

3. Creați un șablon de e-mail de phishing.

De acord, configurarea nu a durat mult și suntem aproape gata să ne lansăm campania. Tot ce rămâne este să adăugați o pagină de phishing.

Crearea unei pagini de phishing

Accesați fila „Pagini de destinație”.

Ni se va solicita să specificăm numele obiectului. Este posibil să importați site-ul sursă. În exemplul nostru, am încercat să specific portalul web de lucru al serverului de e-mail. În consecință, a fost importat ca cod HTML (deși nu complet). În continuare sunt opțiuni interesante pentru capturarea intrărilor utilizatorului:

• Capturați datele trimise. Dacă pagina de site specificată conține diferite formulare de introducere, atunci toate datele vor fi înregistrate.

• Capturați parole - capturați parolele introduse. Datele sunt scrise în baza de date GoPhish fără criptare, așa cum sunt.

În plus, putem folosi opțiunea „Redirecționare către”, care va redirecționa utilizatorul către o pagină specificată după introducerea acreditărilor. Permiteți-mi să vă reamintesc că am stabilit un scenariu în care utilizatorului i se solicită să schimbe parola pentru e-mailul corporativ. Pentru a face acest lucru, i se oferă o pagină de portal de autorizare a e-mailurilor false, după care utilizatorul poate fi trimis către orice resursă disponibilă a companiei.

Nu uitați să salvați pagina finalizată și să accesați secțiunea „Campanie nouă”.

Lansarea pescuitului GoPhish

Am furnizat toate informațiile necesare. În fila „Campanie nouă”, creați o campanie nouă.

Lansează o campanie

În cazul în care:

Nume si Prenume

Numele campaniei

Format e-mail

Șablon de mesaj

Landing Page

Pagina de phishing

URL-ul

IP-ul serverului dvs. GoPhish (trebuie să aibă acces la rețea cu gazda victimei)

Data lansării

Data începerii campaniei

Trimite e-mailuri prin

Data de încheiere a campaniei (e-mail distribuită uniform)

Se trimite profilul

Profilul expeditorului

grupuri

Grup de destinatari de corespondență

După pornire, ne putem familiariza oricând cu statisticile, care indică: mesaje trimise, mesaje deschise, clicuri pe linkuri, date lăsate transferate în spam.

Din statistici vedem că a fost trimis 1 mesaj, să verificăm e-mailul din partea destinatarului:

Într-adevăr, victima a primit cu succes un e-mail de phishing în care i-a cerut să urmeze un link pentru a-și schimba parola contului corporativ. Efectuăm acțiunile solicitate, suntem trimiși către Landing Pages, cum rămâne cu statisticile?

Drept urmare, utilizatorul nostru a făcut clic pe un link de phishing, unde ar putea lăsa informațiile contului său.

Nota autorului: procesul de introducere a datelor nu a fost înregistrat din cauza utilizării unui aspect de testare, dar o astfel de opțiune există. Cu toate acestea, conținutul nu este criptat și este stocat în baza de date GoPhish, vă rugăm să rețineți acest lucru.

În loc de concluzie

Astăzi am atins subiectul actual al organizării de instruire automată pentru angajați pentru a-i proteja de atacurile de phishing și pentru a dezvolta cunoștințele IT în cadrul acestora. Gophish a fost implementat ca o soluție accesibilă, care a arătat rezultate bune în ceea ce privește timpul de implementare și rezultat. Cu acest instrument accesibil, vă puteți audita angajații și puteți genera rapoarte despre comportamentul lor. Dacă sunteți interesat de acest produs, vă oferim asistență în implementarea acestuia și auditarea angajaților dvs. ([e-mail protejat]).

Cu toate acestea, nu ne vom opri la revizuirea unei soluții și intenționăm să continuăm ciclul, unde vom vorbi despre soluții Enterprise pentru automatizarea procesului de instruire și monitorizarea securității angajaților. Rămâneți alături de noi și fiți vigilenți!

Sursa: www.habr.com