ProHoster > blogg > administration > 1. Utbilda användare i grunderna för informationssäkerhet. Kämpa mot nätfiske
1. Utbilda användare i grunderna för informationssäkerhet. Kämpa mot nätfiske
Idag spenderar en nätverksadministratör eller en informationssäkerhetsingenjör mycket tid och ansträngning för att skydda omkretsen av ett företagsnätverk från olika hot, behärskar nya system för att förebygga och övervaka händelser, men inte ens detta garanterar honom fullständig säkerhet. Social ingenjörskonst används aktivt av angripare och kan få allvarliga konsekvenser.
Hur ofta har du kommit på dig själv med att tänka: "Det skulle vara trevligt att ordna en check för personal för läskunnighet inom informationssäkerhet"? Tyvärr springer tankarna in i en vägg av missförstånd i form av ett stort antal uppgifter eller den begränsade tiden på arbetsdagen. Vi planerar att berätta om moderna produkter och tekniker inom området för automatisering av personalutbildning, som inte kommer att kräva långa förberedelser för pilotering eller implementering, utan först till kvarn.
Teoretisk grund
Idag distribueras mer än 80 % av skadliga filer via post (data hämtade från rapporter från Check Point-experter under det senaste året med hjälp av tjänsten Intelligence Reports).
Skadlig fil attack vektor rapport (Ryssland) - Check Point
Detta tyder på att innehållet i e-postmeddelanden är tillräckligt sårbart för att utnyttjas av angripare. Om vi överväger de mest populära skadliga filformaten i bilagor (EXE, RTF, DOC), är det värt att notera att de vanligtvis innehåller automatiska kodexekveringselement (skript, makron).
Årsrapport om filformat i mottagna skadliga meddelanden - Check Point
Hur hanterar man denna attackvektor? Kontrollera e-post med hjälp av säkerhetsverktyg:
antivirus — Signaturupptäckt av hot.
Emulering - en sandlåda med vilken tillbehör öppnas i en isolerad miljö.
Innehållsmedvetenhet — Extraktion av aktiva element från dokument. Användaren får ett rensat dokument (vanligtvis i PDF-format).
Anti Spam - kontrollera mottagarens/sändarens domän för rykte.
Och i teorin är detta tillräckligt, men det finns en annan lika värdefull resurs för företaget - företags- och personliga uppgifter om anställda. Under de senaste åren har populariteten för följande typ av internetbedrägeri ökat aktivt:
Nätfiske (Engelska nätfiske, från fiske - fiske, fiske) - en typ av internetbedrägeri. Dess syfte är att erhålla användaridentifikationsdata. Detta inkluderar att stjäla lösenord, kreditkortsnummer, bankkonton och annan känslig information.
Angripare fulländar nätfiskeattacker, omdirigerar DNS-förfrågningar från populära webbplatser och distribuerar hela kampanjer med hjälp av social ingenjörskonst för att skicka e-post.
För att skydda din företags e-post från nätfiske, rekommenderas därför två metoder, och att använda dem tillsammans leder till bästa resultat:
Tekniska skyddsverktyg. Som nämnts tidigare används olika tekniker för att kontrollera och vidarebefordra endast legitim post.
Teoretisk utbildning av personal. Den består av omfattande tester av personal för att identifiera potentiella offer. Vidare omskolas de, statistik registreras ständigt.
Lita inte på och verifiera
Idag kommer vi att prata om det andra tillvägagångssättet för att förhindra nätfiskeattacker, nämligen automatiserad utbildning av personal för att öka den övergripande säkerhetsnivån för företags- och personuppgifter. Varför kan det vara så farligt?
Socialteknik - psykologisk manipulation av människor för att utföra vissa handlingar eller avslöja konfidentiell information (i relation till informationssäkerhet).
Diagram över ett typiskt scenario för nätfiskeattack
Låt oss ta en titt på ett underhållande flödesschema som kort skildrar vägen för att marknadsföra en nätfiskekampanj. Den har olika stadier:
Insamling av primärdata.
På 21-talet är det svårt att hitta en person som inte är registrerad i något socialt nätverk eller i olika tematiska forum. Naturligtvis lämnar många av oss detaljerad information om oss själva: arbetsplats, grupp för kollegor, telefon, post, etc. Lägg till personlig information om en persons intressen så har du data för att bilda en nätfiske-mall. Även om det inte gick att hitta personer med sådan information, finns det alltid en företagswebbplats där du kan hitta all information vi är intresserade av (domänmail, kontakter, kopplingar).
Lansering av kampanj.
När fotfästet har ställts in kan du starta din egen riktade nätfiskekampanj med gratis eller betalda verktyg. Under e-postlistan kommer du att samla statistik: levererad post, öppen post, klicka på länkar, ange inloggningsuppgifter, etc.
Produkter på marknaden
Nätfiske kan användas av både cyberbrottslingar och anställda inom företagets informationssäkerhet för att kunna genomföra en kontinuerlig granskning av anställdas beteende. Vad erbjuder marknaden oss för gratis och kommersiella lösningar för ett automatiserat utbildningssystem för företagets anställda:
GoPhish är ett projekt med öppen källkod som låter dig distribuera ett nätfiskeföretag för att kontrollera dina anställdas IT-kunskaper. Fördelarna jag skulle inkludera enkel installation och lägsta systemkrav. Nackdelarna är bristen på färdiga utskickmallar, bristen på tester och utbildningsmaterial för personalen.
KnowBe4 — en plattform med ett stort antal tillgängliga produkter för personaltester.
Phishman — Ett automatiserat system för att testa och utbilda anställda. Den har olika versioner av produkter som stöder från 10 till mer än 1000 anställda. Utbildningarna innehåller teori och praktiska uppgifter, det går att identifiera behov utifrån den statistik som erhålls efter nätfiskekampanjen. Lösningen är kommersiell med möjlighet till provanvändning.
Antiphishing — Automatiskt system för utbildning och kontroll av säkerhet. En kommersiell produkt erbjuder periodiska skenattacker, utbildning av anställda, etc. Som en demoversion av produkten erbjuds en kampanj som inkluderar att distribuera mallar och genomföra tre träningsattacker.
Ovanstående lösningar är bara en del av de produkter som finns tillgängliga på marknaden för automatiserad personalutbildning. Naturligtvis har var och en sina egna fördelar och nackdelar. Idag ska vi få veta GoPhish, simulera en nätfiskeattack, utforska de tillgängliga alternativen.
GoPhish
Så det är dags för träning. GoPhish valdes inte av en slump: det är ett användarvänligt verktyg med följande funktioner:
Förenklad installation och start.
REST API-stöd. Låter dig generera förfrågningar från dokumentation och tillämpa automatiserade skript.
Bekvämt grafiskt användargränssnitt.
Cross-platform.
Utvecklingsteamet har förberett ett utmärkt guide om att distribuera och konfigurera GoPhish. I själva verket behöver du bara gå till förvaret, ladda ner ZIP-arkivet för motsvarande OS, kör den interna binära filen, varefter verktyget kommer att installeras.
VIKTIG NOTERING!
Som ett resultat bör du få information om den utplacerade portalen i terminalen, samt data för auktorisering (relevant för versioner äldre än version 0.10.1). Glöm inte att spara ditt lösenord!
msg="Please login with the username admin and the password <ПАРОЛЬ>"
Förstå GoPhish-inställningarna
Efter installationen kommer en konfigurationsfil (config.json) att skapas i programkatalogen. Låt oss beskriva parametrarna för att ändra det:
nyckel
Värde (standard)
beskrivning
admin_server.listen_url
127.0.0.1:3333
GoPhish-serverns IP-adress
admin_server.use_tls
falsk
Används TLS för att ansluta till GoPhish-servern
admin_server.cert_path
exempel.crt
Sökväg till SSL-certifikatet för GoPhish Admin Portal
admin_server.key_path
exempel.nyckel
Sökväg till privat SSL-nyckel
phish_server.listen_url
0.0.0.0:80
Nätfiskesida som är värd för IP-adress och port (värd på själva GoPhish-servern på port 80 som standard)
—> Gå till förvaltningsportalen. I vårat fall: https://127.0.0.1:3333
-> Du kommer att uppmanas att ändra ett tillräckligt långt lösenord till ett enklare eller vice versa.
Skapa en avsändarprofil
Gå till fliken "Skicka profiler" och ange uppgifterna om användaren som vårt utskick kommer att skickas från:
Var:
Namn
Avsändarens namn
Från
Avsändarens mail
Host
IP-adressen till e-postservern från vilken inkommande e-post kommer att lyssnas på.
Användarnamn
Inloggning för användarkonto för e-postserver.
Lösenord
Lösenordet för e-postserverns användarkonto.
Du kan också skicka ett testmeddelande för att säkerställa att leveransen lyckades. Spara inställningarna med knappen "Spara profil".
Skapa en destinationsgrupp
Därefter bör du bilda en grupp mottagare av "lyckobrev". Gå till "Användare & grupper" → "Ny grupp". Det finns två sätt att lägga till: manuellt eller importera en CSV-fil.
Den andra metoden kräver närvaron av obligatoriska fält:
Efter att vi har identifierat den imaginära angriparen och potentiella offer måste vi skapa en meddelandemall. För att göra detta, gå till avsnittet "E-postmallar" → "Nya mallar".
När du skapar en mall används ett tekniskt och kreativt tillvägagångssätt, du bör ange ett meddelande från tjänsten som kommer att vara bekant för offeranvändare eller orsaka dem en viss reaktion. Möjliga alternativ:
Namn
Mallnamn
Ämne
Bokstavsämne
Text/HTML
Fält för att ange text eller HTML-kod
Gophish stöder e-postimport, men vi skapar vår egen. För att göra detta simulerar vi ett scenario: en företagsanvändare får ett brev med ett förslag om att ändra lösenordet från sin företagspost. Därefter analyserar vi hans reaktion och tittar på vår "fångst".
Vi kommer att använda inbyggda variabler i mallen. Mer information finns i ovanstående guide avsnitt Mallreferens.
Låt oss först ladda följande text:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
Följaktligen kommer användarnamnet automatiskt att ersättas (enligt den tidigare inställda "Ny grupp"-posten) och hans postadress kommer att anges.
Därefter bör vi tillhandahålla en länk till vår nätfiske-resurs. För att göra detta, välj ordet "här" i texten och välj alternativet "Länk" på kontrollpanelen.
Som URL kommer vi att ange den inbyggda variabeln {{.URL}}, som vi kommer att fylla i senare. Det kommer automatiskt att bäddas in i brödtexten i nätfiskemeddelandet.
Glöm inte att aktivera alternativet "Lägg till spårningsbild" innan du sparar mallen. Detta kommer att lägga till ett 1x1 pixel mediaelement som spårar när användaren har öppnat e-postmeddelandet.
Så det finns inte mycket kvar, men först sammanfattar vi de nödvändiga stegen efter auktorisering på Gophish-portalen:
Skapa en avsändarprofil;
Skapa en distributionsgrupp där du ska ange användare;
Skapa en e-postmall för nätfiske.
Håller med, installationen tog inte mycket tid och vi är nästan redo att lansera vår kampanj. Det återstår att lägga till en nätfiskesida.
Skapa en nätfiskesida
Gå till fliken "Målsidor".
Vi kommer att uppmanas att ange namnet på objektet. Det är möjligt att importera källsidan. I vårt exempel försökte jag ange en fungerande e-postserverwebbportal. Följaktligen importerades den som HTML-kod (om än inte helt). Följande är intressanta alternativ för att fånga användarinput:
Fånga in inlämnad data. Om den angivna webbplatssidan innehåller olika inmatningsformulär kommer all data att registreras.
Fånga lösenord – fånga in angivna lösenord. Data skrivs till GoPhish-databasen utan kryptering, som den är.
Dessutom kan vi använda alternativet "Omdirigera till", som omdirigerar användaren till den angivna sidan efter att ha angett autentiseringsuppgifterna. Låt mig påminna dig om att vi har satt ett scenario när användaren uppmanas att ändra lösenordet för företagspost. För att göra detta erbjuds han en falsk sida av e-postauktoriseringsportalen, varefter användaren kan skickas till alla tillgängliga företagsresurser.
Glöm inte att spara den färdiga sidan och gå till avsnittet "Ny kampanj".
Lanserar GoPhish-fiske
Vi har tillhandahållit all nödvändig information. Skapa en ny kampanj på fliken "Ny kampanj".
Lansering av kampanj
Var:
Namn
Kampanj namn
E-postmall
Meddelandemall
Målsida
Nätfiskesida
URL
IP för din GoPhish-server (måste ha nätverksnöjlighet med offrets värd)
Lanseringsdag
Kampanjens startdatum
Skicka e-post via
Kampanjens slutdatum (utskicket är jämnt fördelat)
Skickar profil
Avsändarprofil
Grupper
Utskick av mottagargrupp
Efter starten kan vi alltid bekanta oss med statistiken, som indikerar: skickade meddelanden, öppna meddelanden, klick på länkar, data kvar överförd till spam.
Från statistiken ser vi att 1 meddelande har skickats, låt oss kolla posten från mottagarens sida:
I själva verket fick offret framgångsrikt ett nätfiske-e-postmeddelande där de bad dem följa länken för att ändra lösenordet till sitt företagskonto. Vi utför de begärda åtgärderna, vi skickas till sidan för målsidor, hur är det med statistiken?
Som ett resultat följde vår användare en nätfiske-länk där han potentiellt kunde lämna sin kontoinformation.
Författarens anteckning: datainmatningsprocessen fixades inte på grund av användningen av en testlayout, men det finns ett sådant alternativ. Samtidigt är innehållet inte krypterat och lagras i GoPhish-databasen, notera detta.
I stället för en slutsats
Idag berörde vi den aktuella frågan om att genomföra automatiserad utbildning för anställda för att skydda dem från nätfiskeattacker och utbilda dem i IT-kunskaper. Som en prisvärd lösning distribuerades Gophish, som presterade bra när det gäller implementeringstid till resultat. Med detta prisvärda verktyg kan du kontrollera dina anställda och generera rapporter om deras beteende. Om du är intresserad av denna produkt erbjuder vi hjälp med att implementera den och granska dina anställda ([e-postskyddad]).
Vi kommer dock inte att stanna vid en översyn av en lösning och planerar att fortsätta cykeln, där vi kommer att prata om Enterprise-lösningar för att automatisera inlärningsprocessen och övervaka säkerheten för anställda. Stanna hos oss och var vaksam!