Správca siete alebo inžinier informačnej bezpečnosti dnes vynakladá veľa času a úsilia na ochranu perimetra podnikovej siete pred rôznymi hrozbami, ovládaním nových systémov na predchádzanie a monitorovanie udalostí, no ani to nezaručuje úplnú bezpečnosť. Sociálne inžinierstvo útočníci aktívne využívajú a môže mať vážne následky.
Ako často ste sa pristihli pri myšlienke: „Bolo by pekné usporiadať pre zamestnancov test gramotnosti v oblasti informačnej bezpečnosti“? Žiaľ, myšlienky narážajú na stenu nepochopenia v podobe veľkého množstva úloh alebo obmedzeného času v pracovnom dni. Plánujeme vám porozprávať o moderných produktoch a technológiách v oblasti automatizácie školenia personálu, ktoré si nevyžadujú zdĺhavé školenia na pilotáž či implementáciu, ale o všetkom v poriadku.
Teoretický základ
V súčasnosti je viac ako 80 % škodlivých súborov distribuovaných prostredníctvom e-mailu (údaje prevzaté zo správ od špecialistov Check Point za posledný rok pomocou služby Intelligence Reports).
Správa za posledných 30 dní o vektore útoku na distribúciu škodlivých súborov (Rusko) - Check Point
To naznačuje, že obsah e-mailových správ je dosť zraniteľný voči zneužitiu útočníkmi. Ak vezmeme do úvahy najpopulárnejšie formáty škodlivých súborov v prílohách (EXE, RTF, DOC), stojí za zmienku, že spravidla obsahujú automatické prvky spúšťania kódu (skripty, makrá).
Výročná správa o formátoch súborov v prijatých škodlivých správach - Check Point
Ako sa vysporiadať s týmto vektorom útoku? Kontrola pošty zahŕňa použitie bezpečnostných nástrojov:
-
antivírus — detekcia podpisov hrozieb.
-
Emulácia - pieskovisko, pomocou ktorého sa otvárajú prílohy v izolovanom prostredí.
-
Povedomie o obsahu — extrahovanie aktívnych prvkov z dokumentov. Používateľ dostane vyčistený dokument (zvyčajne vo formáte PDF).
-
AntiSpam — kontrola reputácie domény príjemcu/odosielateľa.
A teoreticky to stačí, ale pre spoločnosť existuje ďalší rovnako cenný zdroj - firemné a osobné údaje zamestnancov. V posledných rokoch aktívne rastie popularita nasledujúcich typov internetových podvodov:
Phishing (anglicky phishing, od fishing – fishing, fishing) – druh internetového podvodu. Jeho účelom je získať identifikačné údaje používateľa. To zahŕňa krádež hesiel, čísel kreditných kariet, bankových účtov a iných citlivých informácií.
Útočníci zdokonaľujú metódy phishingových útokov, presmerovávajú požiadavky DNS z obľúbených stránok a spúšťajú celé kampane pomocou sociálneho inžinierstva na odosielanie e-mailov.
Preto sa na ochranu vášho firemného e-mailu pred phishingom odporúča použiť dva prístupy a ich kombinované použitie vedie k najlepším výsledkom:
-
Nástroje technickej ochrany. Ako už bolo spomenuté, na kontrolu a preposielanie iba legitímnej pošty sa používajú rôzne technológie.
-
Teoretická príprava personálu. Pozostáva z komplexného testovania personálu s cieľom identifikovať potenciálne obete. Potom sa preškolia a priebežne sa zaznamenávajú štatistiky.
Neverte a preverujte
Dnes si povieme o druhom prístupe k predchádzaniu phishingovým útokom, a to o automatizovanom školení personálu s cieľom zvýšiť celkovú úroveň bezpečnosti firemných a osobných údajov. Prečo by to mohlo byť také nebezpečné?
sociálne inžinierstvo — psychologická manipulácia s ľuďmi s cieľom vykonať určité činnosti alebo prezradiť dôverné informácie (v súvislosti s bezpečnosťou informácií).
Schéma typického scenára nasadenia phishingového útoku
Poďme sa pozrieť na zábavný vývojový diagram, ktorý stručne načrtne cestu phishingovej kampane. Má rôzne štádiá:
-
Zber primárnych údajov.
V 21. storočí je ťažké nájsť človeka, ktorý by nebol zaregistrovaný na žiadnej sociálnej sieti alebo na rôznych tematických fórach. Prirodzene, mnohí z nás o sebe zanechávajú podrobné informácie: miesto aktuálnej práce, skupina pre kolegov, telefón, pošta atď. Pridajte k tomu prispôsobené informácie o záujmoch osoby a máte údaje na vytvorenie šablóny na phishing. Aj keď sa nám nepodarilo nájsť ľudí s takýmito informáciami, vždy existuje firemná stránka, kde nájdeme všetky informácie, ktoré nás zaujímajú (e-mail domény, kontakty, spojenia).
-
Spustenie kampane.
Keď budete mať vytvorený odrazový mostík, môžete použiť bezplatné alebo platené nástroje na spustenie vlastnej cielenej phishingovej kampane. Počas procesu odosielania pošty budete zhromažďovať štatistiky: doručená pošta, otvorená pošta, kliknutia na odkazy, zadané poverenia atď.
Produkty na trhu
Phishing môžu využívať útočníci aj zamestnanci podnikovej informačnej bezpečnosti na vykonávanie priebežného auditu správania zamestnancov. Čo nám ponúka trh bezplatných a komerčných riešení pre automatizovaný školiaci systém pre zamestnancov spoločnosti:
-
je open source projekt, ktorý vám umožňuje nasadiť phishingovú kampaň na kontrolu IT gramotnosti vašich zamestnancov. Za výhody by som považoval jednoduchosť nasadenia a minimálne systémové nároky. Nevýhodou je nedostatok hotových poštových šablón, nedostatok testov a školiacich materiálov pre zamestnancov.
-
— miesto s veľkým počtom dostupných produktov pre testovací personál.
-
— automatizovaný systém testovania a školenia zamestnancov. Má rôzne verzie produktov podporujúcich od 10 do viac ako 1000 zamestnancov. Školenia zahŕňajú teóriu a praktické úlohy, potreby je možné identifikovať na základe štatistík získaných po phishingovej kampani. Riešenie je komerčné s možnosťou skúšobného použitia.
-
— automatizovaný výcvikový a bezpečnostný monitorovací systém. Komerčný produkt ponúka periodické školiace útoky, školenia zamestnancov atď. Kampaň je ponúkaná ako demo verzia produktu, ktorá zahŕňa nasadenie šablón a vykonanie troch tréningových útokov.
Vyššie uvedené riešenia sú len časťou dostupných produktov na trhu automatizovaného vzdelávania personálu. Samozrejme, každý má svoje výhody a nevýhody. Dnes sa zoznámime s , simulovať phishingový útok a preskúmať dostupné možnosti.
GoPhish
Takže je čas cvičiť. GoPhish nebol vybraný náhodou: je to užívateľsky prívetivý nástroj s nasledujúcimi funkciami:
-
Zjednodušená inštalácia a spustenie.
-
Podpora REST API. Umožňuje vytvárať dopyty z a použiť automatické skripty.
-
Pohodlné grafické ovládacie rozhranie.
-
Viacplatformový.
Vývojový tím pripravil vynikajúci o nasadení a konfigurácii GoPhish. V skutočnosti všetko, čo musíte urobiť, je ísť do , stiahnite si archív ZIP pre príslušný OS, spustite interný binárny súbor, po ktorom sa nástroj nainštaluje.
DÔLEŽITÁ POZNÁMKA!
V dôsledku toho by ste mali dostať do terminálu informácie o nasadzovanom portáli, ako aj autorizačné údaje (relevantné pre verzie staršie ako 0.10.1). Nezabudnite si zabezpečiť heslo!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Pochopenie nastavenia GoPhish
Po inštalácii sa v adresári aplikácie vytvorí konfiguračný súbor (config.json). Poďme si popísať parametre na jeho zmenu:
kľúč
Hodnota (predvolená)
Popis
admin_server.listen_url
127.0.0.1:3333
IP adresa servera GoPhish
admin_server.use_tls
nepravdivý
Používa sa TLS na pripojenie k serveru GoPhish
admin_server.cesta k_certifikátu
priklad.crt
Cesta k certifikátu SSL pre správcovský portál GoPhish
admin_server.key_path
príklad.kľúč
Cesta k súkromnému kľúču SSL
phish_server.listen_url
0.0.0.0:80
IP adresa a port, na ktorom je hosťovaná phishingová stránka (v predvolenom nastavení je hosťovaná na samotnom GoPhish serveri na porte 80)
—> Prejdite na portál správy. V našom prípade: https://127.0.0.1:3333
—> Budete požiadaní o zmenu pomerne dlhého hesla na jednoduchšie alebo naopak.
Vytvorenie profilu odosielateľa
Prejdite na kartu „Profily odosielania“ a uveďte informácie o používateľovi, od ktorého bude naša pošta pochádzať:
Kde:
Meno
Meno odosielateľa
od
E-mail odosielateľa
Hostiteľ
IP adresa poštového servera, z ktorého sa bude počúvať prichádzajúca pošta.
užívateľské meno
Prihlásenie používateľského účtu poštového servera.
Heslo
Heslo používateľského účtu poštového servera.
Môžete tiež odoslať testovaciu správu, aby ste zaistili úspešné doručenie. Uložte nastavenia pomocou tlačidla „Uložiť profil“.
Vytvorenie skupiny príjemcov
Ďalej by ste mali vytvoriť skupinu príjemcov „reťazových listov“. Prejdite na „Používateľ a skupiny“ → „Nová skupina“. Existujú dva spôsoby pridania: manuálne alebo importovaním súboru CSV.
Druhá metóda vyžaduje nasledujúce povinné polia:
-
Krstné meno
-
Priezvisko
-
E-mail
-
poloha
Ako príklad:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Vytvorenie phishingovej e-mailovej šablóny
Keď sme identifikovali imaginárneho útočníka a potenciálne obete, musíme vytvoriť šablónu so správou. Ak to chcete urobiť, prejdite do časti „Šablóny e-mailu“ → „Nové šablóny“.
Pri vytváraní šablóny sa využíva technický a kreatívny prístup, treba špecifikovať správu zo služby, ktorá bude používateľom obete známa alebo u nich vyvolá určitú reakciu. Možné možnosti:
Meno
Názov šablóny
Vaša FIRMA
Predmet listu
Text/HTML
Pole na zadanie textu alebo HTML kódu
Gophish podporuje import písmen, ale my si vytvoríme vlastné. Aby sme to dosiahli, simulujeme scenár: používateľ spoločnosti dostane list so žiadosťou o zmenu hesla zo svojho firemného e-mailu. Ďalej analyzujme jeho reakciu a pozrime sa na náš „úlovok“.
V šablóne použijeme vstavané premenné. Viac podrobností nájdete vyššie časť .
Najprv načítajme nasledujúci text:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamV súlade s tým sa automaticky zadá meno používateľa (podľa predtým špecifikovanej položky „Nová skupina“) a uvedie sa jeho poštová adresa.
Ďalej by sme mali poskytnúť odkaz na náš zdroj phishingu. Ak to chcete urobiť, zvýraznite slovo „tu“ v texte a na ovládacom paneli vyberte možnosť „Odkaz“.
URL adresu nastavíme na vstavanú premennú {{.URL}}, ktorú doplníme neskôr. Automaticky sa vloží do textu phishingového e-mailu.
Pred uložením šablóny nezabudnite povoliť možnosť „Pridať sledovací obrázok“. Tým sa pridá mediálny prvok 1 x 1 pixel, ktorý bude sledovať, či používateľ otvoril e-mail.
Veľa toho teda nezostáva, ale najskôr si zhrnieme potrebné kroky po prihlásení na portál Gophish:
-
Vytvorte profil odosielateľa;
-
Vytvorte distribučnú skupinu, kde zadáte používateľov;
-
Vytvorte šablónu phishingového e-mailu.
Súhlasíte, nastavenie nezabralo veľa času a sme takmer pripravení spustiť našu kampaň. Zostáva len pridať phishingovú stránku.
Vytvorenie phishingovej stránky
Prejdite na kartu Vstupné stránky.
Budeme vyzvaní na zadanie názvu objektu. Je možné importovať zdrojovú stránku. V našom príklade som sa pokúsil špecifikovať fungujúci webový portál poštového servera. V súlade s tým bol importovaný ako kód HTML (aj keď nie úplne). Nasledujúce sú zaujímavé možnosti na zachytenie používateľského vstupu:
-
Zaznamenať odoslané údaje. Ak zadaná stránka lokality obsahuje rôzne vstupné formuláre, zaznamenajú sa všetky údaje.
-
Zachytiť heslá – zachytiť zadané heslá. Údaje sa zapisujú do databázy GoPhish bez šifrovania, ako je.
Okrem toho môžeme použiť možnosť „Presmerovať na“, ktorá používateľa po zadaní prihlasovacích údajov presmeruje na zadanú stránku. Dovoľte mi pripomenúť, že sme nastavili scenár, v ktorom je používateľ vyzvaný na zmenu hesla pre firemný e-mail. Na tento účel je mu ponúknutá stránka portálu na autorizáciu falošnej pošty, po ktorej môže byť používateľ poslaný na akýkoľvek dostupný zdroj spoločnosti.
Vyplnenú stránku si nezabudnite uložiť a prejdite do sekcie „Nová kampaň“.
Spustenie rybolovu GoPhish
Poskytli sme všetky potrebné informácie. Na karte Nová kampaň vytvorte novú kampaň.
Spustenie kampane
Kde:
Meno
Názov kampane
Šablóna e-mailu
Šablóna správy
Landing Page
Phishingová stránka
URL
IP vášho servera GoPhish (musí mať sieťovú dostupnosť s hostiteľom obete)
Dátum spustenia
Dátum začiatku kampane
Odoslať e-maily cez
Dátum ukončenia kampane (zásielka je distribuovaná rovnomerne)
Odosiela sa profil
Profil odosielateľa
Skupiny
Skupina príjemcov pošty
Po spustení sa vždy môžeme zoznámiť so štatistikami, ktoré uvádzajú: odoslané správy, otvorené správy, kliknutia na odkazy, ponechané dáta prenesené do spamu.
Zo štatistík vidíme, že bola odoslaná 1 správa, skontrolujme poštu zo strany príjemcu:
Obeť skutočne úspešne dostala phishingový e-mail so žiadosťou, aby použil odkaz na zmenu hesla k firemnému účtu. Vykonáme požadované akcie, pošleme sa na Landing Pages, ako je to so štatistikami?
V dôsledku toho náš používateľ klikol na phishingový odkaz, kde by potenciálne mohol zanechať informácie o svojom účte.
Poznámka autora: proces zadávania údajov nebol zaznamenaný z dôvodu použitia testovacieho rozloženia, ale takáto možnosť existuje. Obsah však nie je šifrovaný a je uložený v databáze GoPhish, pamätajte na to.
namiesto záveru
Dnes sme sa dotkli aktuálnej témy vedenia automatizovaných školení pre zamestnancov s cieľom chrániť ich pred phishingovými útokmi a rozvíjať u nich IT gramotnosť. Gophish bol nasadený ako cenovo dostupné riešenie, ktoré vykazovalo dobré výsledky z hľadiska času nasadenia a výsledku. Pomocou tohto dostupného nástroja môžete kontrolovať svojich zamestnancov a vytvárať správy o ich správaní. Ak máte záujem o tento produkt, ponúkame pomoc pri jeho nasadení a audite vašich zamestnancov ([chránené e-mailom]).
Nezastavíme sa však pri recenzii jedného riešenia a plánujeme pokračovať v cykle, kde sa budeme baviť o Enterprise riešeniach pre automatizáciu školiaceho procesu a monitorovanie bezpečnosti zamestnancov. Zostaňte s nami a buďte ostražití!
Zdroj: hab.com