Sot, një administrator i rrjetit ose inxhinier i sigurisë së informacionit shpenzon shumë kohë dhe përpjekje për të mbrojtur perimetrin e një rrjeti të ndërmarrjes nga kërcënime të ndryshme, duke zotëruar sisteme të reja për parandalimin dhe monitorimin e ngjarjeve, por edhe kjo nuk garanton siguri të plotë. Inxhinieria sociale përdoret në mënyrë aktive nga sulmuesit dhe mund të ketë pasoja të rënda.
Sa shpesh e keni kapur veten duke menduar: “Do të ishte mirë të organizonim një test për stafin mbi arsimimin e sigurisë së informacionit”? Fatkeqësisht, mendimet ndeshen në një mur keqkuptimi në formën e një numri të madh detyrash ose një kohe të kufizuar në ditën e punës. Ne planifikojmë t'ju tregojmë për produktet dhe teknologjitë moderne në fushën e automatizimit të trajnimit të personelit, të cilat nuk do të kërkojnë trajnime të gjata për pilotim ose zbatim, por për gjithçka në rregull.
Baza teorike
Sot, më shumë se 80% e skedarëve me qëllim të keq shpërndahen përmes emailit (të dhënat e marra nga raportet nga specialistët e Check Point gjatë vitit të kaluar duke përdorur shërbimin e Raporteve të Inteligjencës).
Raporti për 30 ditët e fundit mbi vektorin e sulmit për shpërndarjen e skedarëve me qëllim të keq (Rusi) - Check Point
Kjo sugjeron që përmbajtja në mesazhet e postës elektronike është mjaft e ndjeshme ndaj shfrytëzimit nga sulmuesit. Nëse marrim parasysh formatet më të njohura të skedarëve me qëllim të keq në bashkëngjitjet (EXE, RTF, DOC), vlen të përmendet se ato, si rregull, përmbajnë elemente automatike të ekzekutimit të kodit (skriptet, makro).
Raporti vjetor mbi formatet e skedarëve në mesazhet e marra me qëllim të keq - Check Point
Si të merreni me këtë vektor sulmi? Kontrollimi i postës përfshin përdorimin e mjeteve të sigurisë:
-
Antivirus — zbulimi i nënshkrimit të kërcënimeve.
-
rivalitet - një kuti rëre me të cilën hapen bashkëngjitjet në një mjedis të izoluar.
-
Ndërgjegjësimi i përmbajtjes — nxjerrja e elementeve aktive nga dokumentet. Përdoruesi merr një dokument të pastruar (zakonisht në formatin PDF).
-
Anti-spam — kontrollimi i domenit të marrësit/dërguesit për reputacion.
Dhe, në teori, kjo është e mjaftueshme, por ekziston një burim tjetër po aq i vlefshëm për kompaninë - të dhënat korporative dhe personale të punonjësve. Vitet e fundit, popullariteti i llojit të mëposhtëm të mashtrimit në internet është rritur në mënyrë aktive:
Phishing (Anglisht phishing, nga peshkimi - peshkimi, peshkimi) - një lloj mashtrimi në internet. Qëllimi i tij është të marrë të dhënat e identifikimit të përdoruesit. Kjo përfshin vjedhjen e fjalëkalimeve, numrave të kartave të kreditit, llogarive bankare dhe informacioneve të tjera të ndjeshme.
Sulmuesit po përmirësojnë metodat e sulmeve të phishing, duke ridrejtuar kërkesat DNS nga faqet e njohura dhe duke nisur fushata të tëra duke përdorur inxhinierinë sociale për të dërguar email.
Kështu, për të mbrojtur emailin tuaj të korporatës nga phishing, rekomandohet përdorimi i dy qasjeve dhe përdorimi i kombinuar i tyre çon në rezultatet më të mira:
-
Mjetet e mbrojtjes teknike. Siç u përmend më herët, teknologji të ndryshme përdoren për të kontrolluar dhe përcjellë vetëm postën e ligjshme.
-
Formimi teorik i personelit. Ai konsiston në testimin gjithëpërfshirës të personelit për të identifikuar viktimat e mundshme. Më pas ata rikualifikohen dhe statistikat regjistrohen vazhdimisht.
Mos besoni dhe kontrolloni
Sot do të flasim për qasjen e dytë për parandalimin e sulmeve të phishing, përkatësisht trajnimin e automatizuar të personelit për të rritur nivelin e përgjithshëm të sigurisë së të dhënave të korporatave dhe personale. Pse kjo mund të jetë kaq e rrezikshme?
Inxhinieri sociale — manipulimi psikologjik i njerëzve për të kryer veprime të caktuara ose për të zbuluar informacione konfidenciale (në lidhje me sigurinë e informacionit).
Diagrami i një skenari tipik të vendosjes së sulmit të phishing
Le të hedhim një vështrim në një diagram argëtues që përshkruan shkurtimisht udhëtimin e një fushate phishing. Ka faza të ndryshme:
-
Mbledhja e të dhënave parësore.
Në shekullin e 21-të është e vështirë të gjesh një person që nuk është i regjistruar në asnjë rrjet social apo në forume të ndryshme tematike. Natyrisht, shumë prej nesh lënë informacion të detajuar për veten: vendi i punës aktuale, grupi për kolegët, telefoni, posta, etj. Shtoni në këtë informacion të personalizuar në lidhje me interesat e një personi dhe do të keni të dhënat për të formuar një shabllon phishing. Edhe nëse nuk mund të gjenim njerëz me një informacion të tillë, ekziston gjithmonë një faqe interneti e kompanisë ku mund të gjejmë të gjithë informacionin që na intereson (email domeni, kontaktet, lidhjet).
-
Nisja e fushatës.
Pasi të keni vendosur një trampolinë, mund të përdorni mjete falas ose me pagesë për të nisur fushatën tuaj të synuar të phishing. Gjatë procesit të postimit, ju do të grumbulloni statistika: posta e dorëzuar, posta e hapur, lidhjet e klikuara, kredencialet e futura, etj.
Produktet në treg
Phishing mund të përdoret si nga sulmuesit ashtu edhe nga punonjësit e sigurisë së informacionit të kompanisë për të kryer një auditim të vazhdueshëm të sjelljes së punonjësve. Çfarë na ofron tregu i zgjidhjeve falas dhe komerciale për sistemin e automatizuar të trajnimit për punonjësit e kompanisë:
-
është një projekt me burim të hapur që ju lejon të vendosni një fushatë phishing për të kontrolluar arsimimin e IT të punonjësve tuaj. Unë do t'i konsideroja përparësitë si lehtësinë e vendosjes dhe kërkesat minimale të sistemit. Disavantazhet janë mungesa e modeleve të gatshme të postimeve, mungesa e testeve dhe materialeve trajnuese për stafin.
-
— një faqe me një numër të madh produktesh të disponueshme për personelin e testimit.
-
— sistem i automatizuar për testimin dhe trajnimin e punonjësve. Ka versione të ndryshme të produkteve që mbështesin nga 10 deri në më shumë se 1000 punonjës. Kurset e trajnimit përfshijnë detyra teorike dhe praktike; është e mundur të identifikohen nevojat bazuar në statistikat e marra pas një fushate phishing. Zgjidhja eshte komerciale me mundesi perdorimi prove.
-
— Sistemi i automatizuar i monitorimit të trajnimit dhe sigurisë. Produkti komercial ofron sulme periodike trajnimi, trajnime të punonjësve, etj. Një fushatë ofrohet si një version demo i produktit, i cili përfshin vendosjen e shablloneve dhe kryerjen e tre sulmeve stërvitore.
Zgjidhjet e mësipërme janë vetëm një pjesë e produkteve të disponueshme në tregun e automatizuar të trajnimit të personelit. Sigurisht, secila ka avantazhet dhe disavantazhet e veta. Sot do të njihemi me , simuloni një sulm phishing dhe eksploroni opsionet e disponueshme.
GoPhish
Pra, është koha për të praktikuar. GoPhish nuk u zgjodh rastësisht: është një mjet miqësor për përdoruesit me karakteristikat e mëposhtme:
-
Instalimi dhe fillimi i thjeshtuar.
-
Mbështetje REST API. Ju lejon të krijoni pyetje nga dhe aplikoni skriptet e automatizuara.
-
Ndërfaqe e përshtatshme grafike e kontrollit.
-
Ndër-platformë.
Ekipi i zhvillimit ka përgatitur një të shkëlqyer në vendosjen dhe konfigurimin e GoPhish. Në fakt, gjithçka që duhet të bëni është të shkoni te , shkarkoni arkivin ZIP për sistemin operativ përkatës, ekzekutoni skedarin e brendshëm binar, pas së cilës do të instalohet mjeti.
SHËNIM I RËNDËSISHËM!
Si rezultat, duhet të merrni në terminal informacione për portalin e vendosur, si dhe të dhëna autorizimi (relevant për versionet më të vjetra se versioni 0.10.1). Mos harroni të siguroni një fjalëkalim për veten tuaj!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Kuptimi i konfigurimit të GoPhish
Pas instalimit, një skedar konfigurimi (config.json) do të krijohet në drejtorinë e aplikacionit. Le të përshkruajmë parametrat për ndryshimin e tij:
Ключ
Vlera (e parazgjedhur)
Përshkrim
admin_server.listen_url
127.0.0.1:3333
Adresa IP e serverit GoPhish
admin_server.use_tls
i rremë
A përdoret TLS për t'u lidhur me serverin GoPhish
admin_server.cert_path
shembull.crt
Rruga drejt certifikatës SSL për portalin administrator GoPhish
server_admin.rruga_kyç
shembull.çelës
Rruga drejt çelësit privat SSL
phish_server.listen_url
0.0.0.0:80
Adresa IP dhe porta ku strehohet faqja e phishing (si parazgjedhje ajo është e pritur në vetë serverin GoPhish në portin 80)
—> Shkoni te portali i menaxhimit. Në rastin tonë: https://127.0.0.1:3333
—> Do t'ju kërkohet të ndryshoni një fjalëkalim mjaft të gjatë në një më të thjeshtë ose anasjelltas.
Krijimi i një profili dërguesi
Shkoni te skeda "Dërgimi i profileve" dhe jepni informacione rreth përdoruesit nga i cili do të vijë postimi ynë:
Ku:
Emër
Emri i dërguesit
nga
Email-i i dërguesit
Mikpritës
Adresa IP e serverit të postës nga i cili do të dëgjohet posta hyrëse.
Emri i përdoruesit
Hyrja në llogarinë e përdoruesit të serverit të postës.
Fjalëkalimin
Fjalëkalimi i llogarisë së përdoruesit të serverit të postës.
Ju gjithashtu mund të dërgoni një mesazh testimi për të siguruar suksesin e dorëzimit. Ruani cilësimet duke përdorur butonin "Ruaj profilin".
Krijimi i një grupi marrësish
Më pas, duhet të formoni një grup marrësësh të "letrave zinxhir". Shkoni te "Përdoruesi dhe Grupet" → "Grupi i Ri". Ka dy mënyra për të shtuar: me dorë ose duke importuar një skedar CSV.
Metoda e dytë kërkon fushat e mëposhtme të kërkuara:
-
Emri
-
Mbiemri
-
Email
-
pozitë
Si nje shembull:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Krijimi i një shablloni të postës elektronike të phishing
Pasi të kemi identifikuar sulmuesin imagjinar dhe viktimat e mundshme, duhet të krijojmë një shabllon me një mesazh. Për ta bërë këtë, shkoni te seksioni "Modelet e postës elektronike" → "Modele të reja".
Kur formoni një shabllon, përdoret një qasje teknike dhe krijuese; duhet të specifikohet një mesazh nga shërbimi që do të jetë i njohur për përdoruesit e viktimave ose do t'u shkaktojë atyre një reagim të caktuar. Opsionet e mundshme:
Emër
Emri i shabllonit
subjekt
Subjekti i letrës
Tekst/HTML
Fusha për futjen e tekstit ose kodit HTML
Gophish mbështet importimin e letrave, por ne do të krijojmë tonat. Për ta bërë këtë, ne simulojmë një skenar: një përdorues i kompanisë merr një letër që i kërkon të ndryshojë fjalëkalimin nga emaili i tij i korporatës. Më pas, le të analizojmë reagimin e tij dhe të shohim "kapjen" tonë.
Ne do të përdorim variabla të integruara në shabllon. Më shumë detaje mund të gjenden në sa më sipër seksion .
Së pari, le të ngarkojmë tekstin e mëposhtëm:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamPrandaj, emri i përdoruesit do të futet automatikisht (sipas artikullit "Grupi i ri" i specifikuar më parë) dhe do të tregohet adresa e tij postare.
Më pas, ne duhet të ofrojmë një lidhje me burimin tonë të phishing. Për ta bërë këtë, theksoni fjalën "këtu" në tekst dhe zgjidhni opsionin "Lidhje" në panelin e kontrollit.
URL-në do ta vendosim në ndryshoren e integruar {{.URL}}, të cilën do ta plotësojmë më vonë. Ai do të futet automatikisht në tekstin e emailit të phishing.
Para se të ruani shabllonin, mos harroni të aktivizoni opsionin "Shto imazhin e gjurmimit". Kjo do të shtojë një element mediatik 1x1 piksel që do të gjurmojë nëse përdoruesi e ka hapur emailin.
Pra, nuk ka mbetur shumë, por së pari do të përmbledhim hapat e kërkuar pas hyrjes në portalin Gophish:
-
Krijo një profil dërguesi;
-
Krijoni një grup shpërndarjeje ku specifikoni përdoruesit;
-
Krijo një shabllon të email-it phishing.
Pajtohem, konfigurimi nuk mori shumë kohë dhe ne jemi pothuajse gati për të nisur fushatën tonë. Gjithçka që mbetet është të shtoni një faqe phishing.
Krijimi i një faqe phishing
Shkoni te skeda "Faqet e uljes".
Do të na kërkohet të specifikojmë emrin e objektit. Është e mundur të importohet faqja burimore. Në shembullin tonë, u përpoqa të specifikoja portalin e punës në internet të serverit të postës. Prandaj, ai u importua si kod HTML (megjithëse jo plotësisht). Më poshtë janë opsionet interesante për kapjen e të dhënave të përdoruesit:
-
Kapni të dhënat e dorëzuara. Nëse faqja e specifikuar e faqes përmban forma të ndryshme hyrëse, atëherë të gjitha të dhënat do të regjistrohen.
-
Capture Passwords - kapni fjalëkalimet e futura. Të dhënat shkruhen në bazën e të dhënave GoPhish pa kriptim, siç është.
Për më tepër, ne mund të përdorim opsionin "Ridrejto te", i cili do ta ridrejtojë përdoruesin në një faqe të caktuar pas futjes së kredencialeve. Më lejoni t'ju kujtoj se ne kemi vendosur një skenar ku përdoruesit i kërkohet të ndryshojë fjalëkalimin për emailin e korporatës. Për ta bërë këtë, atij i ofrohet një faqe e portalit të autorizimit të postës së rreme, pas së cilës përdoruesi mund të dërgohet në çdo burim të disponueshëm të kompanisë.
Mos harroni të ruani faqen e përfunduar dhe shkoni te seksioni "Fushata e re".
Nisja e peshkimit GoPhish
Ne kemi dhënë të gjithë informacionin e nevojshëm. Në skedën "Fushata e re", krijoni një fushatë të re.
Nisja e fushatës
Ku:
Emër
Emri i fushatës
Modeli i postës elektronike
Modeli i mesazhit
Landing Page
Faqja e phishing
URL
IP e serverit tuaj GoPhish (duhet të ketë akses në rrjet me hostin e viktimës)
Data e nisjes
Data e fillimit të fushatës
Dërgo email nga
Data e përfundimit të fushatës (dërgimi i postës shpërndahet në mënyrë të barabartë)
Dërgimi i profilit
Profili i dërguesit
Grupet
Grupi i marrësve të postës
Pas fillimit, ne gjithmonë mund të njihemi me statistikat, të cilat tregojnë: mesazhet e dërguara, mesazhet e hapura, klikimet në lidhje, të dhënat e mbetura të transferuara në spam.
Nga statistikat shohim që është dërguar 1 mesazh, le të kontrollojmë postën nga ana e marrësit:
Në të vërtetë, viktima mori me sukses një email phishing që i kërkonte të ndiqte një lidhje për të ndryshuar fjalëkalimin e llogarisë së tij të korporatës. Ne kryejmë veprimet e kërkuara, dërgohemi në Landing Pages, po statistikat?
Si rezultat, përdoruesi ynë klikoi në një lidhje phishing, ku ai mund të linte informacionin e llogarisë së tij.
Shënim i autorit: procesi i futjes së të dhënave nuk u regjistrua për shkak të përdorimit të një skeme testimi, por një opsion i tillë ekziston. Megjithatë, përmbajtja nuk është e koduar dhe ruhet në bazën e të dhënave GoPhish, ju lutemi mbani në mend këtë.
Në vend të një përfundimi
Sot ne prekëm temën aktuale të kryerjes së trajnimeve të automatizuara për punonjësit në mënyrë që t'i mbrojmë ata nga sulmet e phishing dhe të zhvillojmë edukimin e IT në to. Gophish u vendos si një zgjidhje e përballueshme, e cila tregoi rezultate të mira për sa i përket kohës dhe rezultatit të vendosjes. Me këtë mjet të aksesueshëm, ju mund të auditoni punonjësit tuaj dhe të gjeneroni raporte mbi sjelljen e tyre. Nëse jeni të interesuar për këtë produkt, ne ofrojmë ndihmë në vendosjen e tij dhe auditimin e punonjësve tuaj ([email mbrojtur]).
Megjithatë, ne nuk do të ndalemi në shqyrtimin e një zgjidhjeje dhe në plan për të vazhduar ciklin, ku do të flasim për zgjidhjet e Ndërmarrjeve për automatizimin e procesit të trajnimit dhe monitorimin e sigurisë së punonjësve. Qëndroni me ne dhe jini vigjilentë!
Burimi: www.habr.com