Danes skrbnik omrežja ali inženir za informacijsko varnost porabi veliko časa in truda za zaščito perimetra poslovnega omrežja pred različnimi grožnjami, osvajanje novih sistemov za preprečevanje in spremljanje dogodkov, a tudi to ne zagotavlja popolne varnosti. Socialni inženiring napadalci aktivno uporabljajo in ima lahko resne posledice.
Kako pogosto ste se ujeli pri razmišljanju: »Lepo bi bilo organizirati preizkus pismenosti informacijske varnosti za zaposlene«? Na žalost misli naletijo na zid nerazumevanja v obliki velikega števila nalog ali omejenega časa v delovnem dnevu. Načrtujemo, da vam bomo povedali o sodobnih izdelkih in tehnologijah na področju avtomatizacije usposabljanja osebja, ki ne bo zahtevalo dolgotrajnega usposabljanja za pilotiranje ali implementacijo, ampak o vsem po vrsti.
Teoretična podlaga
Danes se več kot 80 % zlonamernih datotek distribuira po e-pošti (podatki vzeti iz poročil strokovnjakov Check Pointa v zadnjem letu s storitvijo Intelligence Reports).
Poročilo za zadnjih 30 dni o vektorju napada za distribucijo zlonamernih datotek (Rusija) - Check Point
To nakazuje, da je vsebina v e-poštnih sporočilih precej ranljiva za izkoriščanje s strani napadalcev. Če upoštevamo najbolj priljubljene oblike zlonamernih datotek v prilogah (EXE, RTF, DOC), je treba omeniti, da praviloma vsebujejo samodejne elemente izvajanja kode (skripte, makre).
Letno poročilo o formatih datotek v prejetih zlonamernih sporočilih - Check Point
Kako ravnati s tem vektorjem napada? Preverjanje pošte vključuje uporabo varnostnih orodij:
-
antivirus — odkrivanje podpisov groženj.
-
Oponašanje - peskovnik, s katerim se priponke odpirajo v izoliranem okolju.
-
Zavedanje vsebine — pridobivanje aktivnih elementov iz dokumentov. Uporabnik prejme očiščen dokument (običajno v formatu PDF).
-
AntiSpam — preverjanje ugleda domene prejemnika/pošiljatelja.
In teoretično je to dovolj, vendar obstaja še en enako dragocen vir za podjetje - korporativni in osebni podatki zaposlenih. V zadnjih letih aktivno narašča priljubljenost naslednjih vrst internetnih goljufij:
Lažno predstavljanje (Angleško lažno predstavljanje, od ribolova - ribolov, ribolov) - vrsta internetne goljufije. Njegov namen je pridobiti identifikacijske podatke uporabnika. To vključuje krajo gesel, številk kreditnih kartic, bančnih računov in drugih občutljivih informacij.
Napadalci izboljšujejo metode napadov lažnega predstavljanja, preusmerjajo zahteve DNS s priljubljenih spletnih mest in izvajajo celotne kampanje z uporabo socialnega inženiringa za pošiljanje e-pošte.
Zato je za zaščito vaše poslovne e-pošte pred lažnim predstavljanjem priporočljiva uporaba dveh pristopov, njuna kombinirana uporaba pa vodi do najboljših rezultatov:
-
Orodja tehnične zaščite. Kot smo že omenili, se različne tehnologije uporabljajo za preverjanje in posredovanje samo zakonite pošte.
-
Teoretično usposabljanje osebja. Sestavljen je iz celovitega testiranja osebja za identifikacijo potencialnih žrtev. Potem se prekvalificirajo in stalno beležijo statistiko.
Ne zaupajte in preverite
Danes bomo govorili o drugem pristopu k preprečevanju phishing napadov, in sicer o avtomatiziranem usposabljanju osebja za povečanje splošne ravni varnosti korporativnih in osebnih podatkov. Zakaj bi lahko bilo to tako nevarno?
Socialni inženiring — psihološka manipulacija ljudi z namenom izvajanja določenih dejanj ali razkritja zaupnih informacij (v zvezi z informacijsko varnostjo).
Diagram tipičnega scenarija uvedbe napada z lažnim predstavljanjem
Oglejmo si zabaven diagram poteka, ki na kratko oriše pot lažne kampanje. Ima različne stopnje:
-
Zbiranje primarnih podatkov.
V 21. stoletju je težko najti osebo, ki ni registrirana na nobenem družbenem omrežju ali na različnih tematskih forumih. Seveda mnogi od nas pustijo podrobne podatke o sebi: kraj trenutnega dela, skupina za sodelavce, telefon, pošta itd. Temu dodajte prilagojene informacije o interesih osebe in dobili boste podatke za oblikovanje predloge za lažno predstavljanje. Tudi če ne bi našli ljudi s takimi informacijami, vedno obstaja spletna stran podjetja, kjer lahko najdemo vse informacije, ki nas zanimajo (e-pošta domene, kontakti, povezave).
-
Začetek kampanje.
Ko imate vzpostavljeno odskočno desko, lahko uporabite brezplačna ali plačljiva orodja za zagon lastne ciljane kampanje lažnega predstavljanja. Med postopkom pošiljanja boste zbirali statistiko: dostavljena pošta, odprta pošta, kliknjene povezave, vnesene poverilnice itd.
Izdelki na trgu
Lažno predstavljanje lahko uporabljajo tako napadalci kot zaposleni v informacijski varnosti podjetja, da bi izvajali stalno revizijo vedenja zaposlenih. Kaj nam ponuja trg brezplačnih in komercialnih rešitev za avtomatiziran sistem usposabljanja zaposlenih v podjetju:
-
je odprtokodni projekt, ki vam omogoča uvedbo lažnega predstavljanja za preverjanje informacijske pismenosti vaših zaposlenih. Med prednosti bi menil, da so enostavna uvedba in minimalne sistemske zahteve. Slabosti so pomanjkanje pripravljenih poštnih predlog, pomanjkanje testov in gradiva za usposabljanje osebja.
-
— spletno mesto z velikim številom razpoložljivih izdelkov za testiranje osebja.
-
— avtomatiziran sistem za testiranje in usposabljanje zaposlenih. Ima različne različice izdelkov, ki podpirajo od 10 do več kot 1000 zaposlenih. Tečaji usposabljanja vključujejo teoretične in praktične naloge, potrebe je mogoče prepoznati na podlagi statističnih podatkov, pridobljenih po phishing kampanji. Rešitev je komercialna z možnostjo poskusne uporabe.
-
— avtomatiziran sistem za usposabljanje in varnostni nadzor. Komercialni izdelek ponuja občasne napade na usposabljanje, usposabljanje zaposlenih itd. Kampanja je na voljo kot demo različica izdelka, ki vključuje uvajanje predlog in izvedbo treh napadov za usposabljanje.
Navedene rešitve so le del produktov, ki so na voljo na trgu avtomatiziranega izobraževanja kadrov. Seveda ima vsak svoje prednosti in slabosti. Danes se bomo seznanili z , simulirajte lažno predstavljanje in raziščite razpoložljive možnosti.
GoPhish
Torej, čas je za vadbo. GoPhish ni bil izbran po naključju: je uporabniku prijazno orodje z naslednjimi funkcijami:
-
Poenostavljena namestitev in zagon.
-
Podpora za REST API. Omogoča ustvarjanje poizvedb iz in uporabite avtomatizirane skripte.
-
Priročen grafični nadzorni vmesnik.
-
Več platform.
Razvojna ekipa je pripravila odlično o uvajanju in konfiguriranju GoPhish. Pravzaprav morate le iti na , prenesite arhiv ZIP za ustrezen OS, zaženite notranjo binarno datoteko, nato pa bo orodje nameščeno.
POMEMBNO OPOMBA!
Posledično bi morali v terminalu prejeti informacije o razporejenem portalu in podatke o avtorizaciji (pomembno za različice, starejše od različice 0.10.1). Ne pozabite si zagotoviti gesla zase!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Razumevanje nastavitve GoPhish
Po namestitvi bo v imeniku aplikacije ustvarjena konfiguracijska datoteka (config.json). Opišimo parametre za spreminjanje:
Ključ
Vrednost (privzeto)
Opis
admin_server.listen_url
127.0.0.1:3333
IP naslov strežnika GoPhish
admin_server.use_tls
false
Ali se TLS uporablja za povezavo s strežnikom GoPhish
admin_server.cert_path
primer.crt
Pot do potrdila SSL za skrbniški portal GoPhish
admin_server.key_path
primer.ključ
Pot do zasebnega ključa SSL
phish_server.listen_url
0.0.0.0:80
Naslov IP in vrata, kjer gostuje stran z lažnim predstavljanjem (privzeto gostuje na samem strežniku GoPhish na vratih 80)
—> Pojdite na portal za upravljanje. V našem primeru: https://127.0.0.1:3333
—> Pozvani boste, da spremenite dokaj dolgo geslo v enostavnejše ali obratno.
Ustvarjanje profila pošiljatelja
Pojdite na zavihek »Profili pošiljanja« in navedite informacije o uporabniku, od katerega bo naša pošta izvirala:
Kje:
Ime
Ime pošiljatelja
od
E-pošta pošiljatelja
Gostitelj
IP naslov poštnega strežnika, s katerega se bo poslušala dohodna pošta.
Uporabniško ime
Prijava v uporabniški račun poštnega strežnika.
Geslo
Geslo uporabniškega računa poštnega strežnika.
Pošljete lahko tudi testno sporočilo, da zagotovite uspešno dostavo. Shranite nastavitve z gumbom »Shrani profil«.
Ustvarjanje skupine prejemnikov
Nato bi morali oblikovati skupino prejemnikov "verižnih pisem". Pojdite na »Uporabnik in skupine« → »Nova skupina«. Obstajata dva načina dodajanja: ročno ali z uvozom datoteke CSV.
Druga metoda zahteva naslednja obvezna polja:
-
Ime
-
Priimek
-
E-pošta
-
položaj
Kot primer:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Ustvarjanje lažne e-poštne predloge
Ko identificiramo namišljenega napadalca in morebitne žrtve, moramo ustvariti predlogo s sporočilom. Če želite to narediti, pojdite na razdelek »E-poštne predloge« → »Nove predloge«.
Pri oblikovanju predloge se uporablja tehnični in kreativni pristop, navesti je treba sporočilo storitve, ki bo uporabnikom žrtve znano ali bo pri njih povzročilo določeno reakcijo. Možne možnosti:
Ime
Ime predloge
Zadeva
Zadeva pisma
Besedilo/HTML
Polje za vnos besedila ali kode HTML
Gophish podpira uvoz črk, vendar bomo ustvarili svoje. Da bi to naredili, simuliramo scenarij: uporabnik v podjetju prejme pismo s prošnjo, naj spremeni geslo iz službene elektronske pošte. Nato analizirajmo njegovo reakcijo in poglejmo naš »ulov«.
Uporabili bomo vgrajene spremenljivke v predlogi. Več podrobnosti najdete v zgornjem oddelek .
Najprej naložimo naslednje besedilo:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamV skladu s tem bo samodejno vneseno ime uporabnika (v skladu s prej določeno postavko »Nova skupina«) in naveden bo njegov poštni naslov.
Nato bi morali zagotoviti povezavo do našega phishing vira. To storite tako, da v besedilu označite besedo »tukaj« in na nadzorni plošči izberete možnost »Povezava«.
URL bomo nastavili na vgrajeno spremenljivko {{.URL}}, ki jo bomo izpolnili pozneje. Samodejno bo vdelan v besedilo lažnega e-poštnega sporočila.
Pred shranjevanjem predloge ne pozabite omogočiti možnosti »Dodaj sliko za sledenje«. To bo dodalo medijski element 1 x 1 piksel, ki bo spremljal, ali je uporabnik odprl e-pošto.
Torej, ni ostalo veliko, ampak najprej bomo povzeli zahtevane korake po prijavi v portal Gophish:
-
Ustvarite profil pošiljatelja;
-
Ustvarite distribucijsko skupino, kjer določite uporabnike;
-
Ustvarite lažno e-poštno predlogo.
Strinjam se, nastavitev ni vzela veliko časa in skoraj smo pripravljeni na začetek naše kampanje. Vse kar ostane je, da dodate lažno stran.
Ustvarjanje lažnega predstavljanja
Pojdite na zavihek »Ciljne strani«.
Pozvani bomo, da določimo ime predmeta. Izvorno mesto je mogoče uvoziti. V našem primeru sem poskušal določiti delujoči spletni portal poštnega strežnika. V skladu s tem je bil uvožen kot koda HTML (čeprav ne v celoti). Sledijo zanimive možnosti za zajemanje uporabniškega vnosa:
-
Zajem poslanih podatkov. Če določena stran spletnega mesta vsebuje različne vnosne obrazce, bodo vsi podatki zabeleženi.
-
Capture Passwords - zajem vnesenih gesel. Podatki se zapišejo v bazo podatkov GoPhish brez šifriranja, kakršni so.
Poleg tega lahko uporabimo možnost »Preusmeri na«, ki uporabnika po vnosu poverilnic preusmeri na določeno stran. Naj vas spomnim, da smo nastavili scenarij, po katerem je uporabnik pozvan, da spremeni geslo za službeno e-pošto. Da bi to naredil, mu je ponujena portalna stran za avtorizacijo lažne pošte, po kateri je uporabnik lahko poslan na kateri koli razpoložljivi vir podjetja.
Ne pozabite shraniti končane strani in pojdite na razdelek »Nova oglaševalska akcija«.
Začetek ribolova GoPhish
Zagotovili smo vse potrebne informacije. V zavihku »Nova oglaševalska akcija« ustvarite novo oglaševalsko akcijo.
Zagon kampanje
Kje:
Ime
Ime akcije
E-poštna predloga
Predloga sporočila
Landing Page
Stran z lažnim predstavljanjem
URL
IP vašega strežnika GoPhish (mora imeti omrežno dosegljivost z gostiteljem žrtve)
Datum zagona
Datum začetka akcije
Pošlji e-pošto do
Končni datum akcije (pošta je enakomerno porazdeljena)
Pošiljanje profila
Profil pošiljatelja
skupine
Skupina prejemnikov pošte
Po zagonu se vedno lahko seznanimo s statistiko, ki označuje: poslana sporočila, odprta sporočila, klike na povezave, opuščene podatke prenesene v spam.
Iz statistike vidimo, da je bilo poslano 1 sporočilo, preverimo pošto s strani prejemnika:
Dejansko je žrtev uspešno prejela e-poštno sporočilo z lažnim predstavljanjem, v katerem je bila pozvana, naj sledi povezavi za spremembo gesla za svoj poslovni račun. Izvedemo zahtevana dejanja, poslani smo na ciljne strani, kaj pa statistika?
Posledično je naš uporabnik kliknil povezavo za lažno predstavljanje, kjer bi lahko pustil podatke o svojem računu.
Opomba avtorja: postopek vnosa podatkov ni bil zabeležen zaradi uporabe testne postavitve, vendar takšna možnost obstaja. Vendar pa vsebina ni šifrirana in je shranjena v zbirki podatkov GoPhish, upoštevajte to.
Namesto zaključka
Danes smo se dotaknili aktualne teme izvajanja avtomatiziranih izobraževanj za zaposlene, da bi jih zaščitili pred phishing napadi in pri njih razvili informacijsko pismenost. Gophish je bil uveden kot cenovno ugodna rešitev, ki je pokazala dobre rezultate glede časa uvedbe in rezultata. S tem dostopnim orodjem lahko nadzirate svoje zaposlene in ustvarite poročila o njihovem vedenju. Če vas ta izdelek zanima, vam nudimo pomoč pri njegovi uvedbi in reviziji vaših zaposlenih ([e-pošta zaščitena]).
Vendar se ne bomo ustavili pri pregledu ene rešitve in načrtujemo nadaljevanje cikla, kjer bomo govorili o Enterprise rešitvah za avtomatizacijo izobraževalnega procesa in spremljanje varnosti zaposlenih. Ostanite z nami in bodite pozorni!
Vir: www.habr.com