Ngayon, ang isang administrator ng network o inhinyero ng seguridad ng impormasyon ay gumugugol ng maraming oras at pagsisikap upang protektahan ang perimeter ng isang network ng negosyo mula sa iba't ibang mga banta, na pinagkadalubhasaan ang mga bagong sistema para sa pagpigil at pagsubaybay sa mga kaganapan, ngunit kahit na ito ay hindi ginagarantiyahan ang kumpletong seguridad. Ang social engineering ay aktibong ginagamit ng mga umaatake at maaaring magkaroon ng malubhang kahihinatnan.
Gaano mo kadalas nahuli ang iyong sarili na nag-iisip: "Masarap magsagawa ng pagsusulit para sa mga kawani sa kaalaman sa seguridad ng impormasyon"? Sa kasamaang palad, ang mga pag-iisip ay tumatakbo sa isang pader ng hindi pagkakaunawaan sa anyo ng isang malaking bilang ng mga gawain o limitadong oras sa araw ng trabaho. Plano naming sabihin sa iyo ang tungkol sa mga modernong produkto at teknolohiya sa larangan ng automation ng pagsasanay ng mga tauhan, na hindi mangangailangan ng mahabang pagsasanay para sa piloting o pagpapatupad, ngunit tungkol sa lahat ng bagay sa pagkakasunud-sunod.
Teoretikal na pundasyon
Ngayon, higit sa 80% ng mga nakakahamak na file ang ipinamamahagi sa pamamagitan ng email (data na kinuha mula sa mga ulat mula sa mga espesyalista sa Check Point sa nakalipas na taon gamit ang serbisyo ng Intelligence Reports).
Mag-ulat para sa huling 30 araw sa vector ng pag-atake para sa pamamahagi ng mga nakakahamak na file (Russia) - Check Point
Iminumungkahi nito na ang nilalaman sa mga mensaheng email ay medyo mahina sa pagsasamantala ng mga umaatake. Kung isasaalang-alang namin ang pinakasikat na nakakahamak na mga format ng file sa mga attachment (EXE, RTF, DOC), nararapat na tandaan na sila, bilang panuntunan, ay naglalaman ng mga awtomatikong elemento ng pagpapatupad ng code (mga script, macro).
Taunang ulat sa mga format ng file sa mga natanggap na malisyosong mensahe - Check Point
Paano haharapin ang vector ng pag-atake na ito? Kasama sa pagsuri sa mail ang paggamit ng mga tool sa seguridad:
-
Antivirus β signature detection ng mga banta.
-
Pagtulad - isang sandbox kung saan binubuksan ang mga attachment sa isang nakahiwalay na kapaligiran.
-
Kamalayan sa Nilalaman β pagkuha ng mga aktibong elemento mula sa mga dokumento. Ang gumagamit ay tumatanggap ng isang nalinis na dokumento (karaniwan ay nasa format na PDF).
-
Laban sa spam β pagsuri sa domain ng tatanggap/nagpadala para sa reputasyon.
At, sa teorya, ito ay sapat na, ngunit mayroong isa pang pantay na mahalagang mapagkukunan para sa kumpanya - corporate at personal na data ng mga empleyado. Sa mga nagdaang taon, ang katanyagan ng sumusunod na uri ng pandaraya sa Internet ay aktibong lumalaki:
Phishing (English phishing, mula sa pangingisda - pangingisda, pangingisda) - isang uri ng pandaraya sa Internet. Ang layunin nito ay makakuha ng data ng pagkakakilanlan ng user. Kabilang dito ang pagnanakaw ng mga password, numero ng credit card, bank account at iba pang sensitibong impormasyon.
Pinapabuti ng mga attacker ang mga paraan ng pag-atake ng phishing, pagre-redirect ng mga kahilingan sa DNS mula sa mga sikat na site, at paglulunsad ng buong campaign gamit ang social engineering para magpadala ng mga email.
Kaya, upang maprotektahan ang iyong pangkumpanyang email mula sa phishing, inirerekomendang gumamit ng dalawang diskarte, at ang kanilang pinagsamang paggamit ay humahantong sa pinakamahusay na mga resulta:
-
Mga tool sa teknikal na proteksyon. Gaya ng nabanggit kanina, iba't ibang teknolohiya ang ginagamit upang suriin at ipasa ang lehitimong mail lamang.
-
Teoretikal na pagsasanay ng mga tauhan. Binubuo ito ng komprehensibong pagsusuri sa mga tauhan upang matukoy ang mga potensyal na biktima. Pagkatapos sila ay muling sinanay at ang mga istatistika ay patuloy na naitala.
Huwag magtiwala at suriin
Ngayon ay pag-uusapan natin ang tungkol sa pangalawang diskarte sa pagpigil sa mga pag-atake ng phishing, katulad ng automated personnel training upang mapataas ang pangkalahatang antas ng seguridad ng corporate at personal na data. Bakit napakadelikado nito?
social engineering β sikolohikal na pagmamanipula ng mga tao upang magsagawa ng ilang mga aksyon o magbunyag ng kumpidensyal na impormasyon (kaugnay ng seguridad ng impormasyon).
Diagram ng isang tipikal na senaryo ng deployment ng pag-atake ng phishing
Tingnan natin ang isang nakakatuwang flowchart na maikling binabalangkas ang paglalakbay ng isang kampanya sa phishing. Ito ay may iba't ibang yugto:
-
Koleksyon ng pangunahing data.
Sa ika-21 siglo, mahirap makahanap ng isang tao na hindi nakarehistro sa anumang social network o sa iba't ibang mga pampakay na forum. Naturally, marami sa atin ang nag-iiwan ng detalyadong impormasyon tungkol sa ating sarili: lugar ng kasalukuyang trabaho, grupo para sa mga kasamahan, telepono, mail, atbp. Idagdag sa personalized na impormasyong ito tungkol sa mga interes ng isang tao at mayroon kang data upang bumuo ng template ng phishing. Kahit na hindi namin mahanap ang mga taong may ganoong impormasyon, palaging may website ng kumpanya kung saan mahahanap namin ang lahat ng impormasyong interesado kami (domain email, mga contact, mga koneksyon).
-
Paglulunsad ng kampanya.
Sa sandaling mayroon ka ng isang pambuwelo sa lugar, maaari kang gumamit ng libre o bayad na mga tool upang ilunsad ang iyong sariling naka-target na kampanya sa phishing. Sa proseso ng pag-mail, makakaipon ka ng mga istatistika: naihatid na mail, binuksan ang mail, na-click ang mga link, ipinasok ang mga kredensyal, atbp.
Mga produkto sa merkado
Maaaring gamitin ang phishing ng parehong mga umaatake at empleyado ng seguridad ng impormasyon ng kumpanya upang magsagawa ng patuloy na pag-audit ng gawi ng empleyado. Ano ang ibinibigay sa amin ng merkado ng libre at komersyal na mga solusyon para sa awtomatikong sistema ng pagsasanay para sa mga empleyado ng kumpanya:
-
ay isang open source na proyekto na nagbibigay-daan sa iyong mag-deploy ng phishing campaign para suriin ang IT literacy ng iyong mga empleyado. Isasaalang-alang ko ang mga bentahe bilang kadalian ng pag-deploy at kaunting mga kinakailangan sa system. Ang mga disadvantages ay ang kakulangan ng mga handa na template ng pag-mail, ang kakulangan ng mga pagsubok at mga materyales sa pagsasanay para sa mga kawani.
-
β isang site na may malaking bilang ng mga magagamit na produkto para sa pagsubok ng mga tauhan.
-
- awtomatikong sistema para sa pagsubok at pagsasanay ng mga empleyado. May iba't ibang bersyon ng mga produkto na sumusuporta mula 10 hanggang higit sa 1000 empleyado. Kasama sa mga kurso sa pagsasanay ang teorya at praktikal na mga takdang-aralin; posibleng tukuyin ang mga pangangailangan batay sa mga istatistikang nakuha pagkatapos ng kampanyang phishing. Ang solusyon ay komersyal na may posibilidad ng pagsubok na paggamit.
-
β awtomatikong pagsasanay at sistema ng pagsubaybay sa seguridad. Nag-aalok ang komersyal na produkto ng mga pana-panahong pag-atake sa pagsasanay, pagsasanay sa empleyado, atbp. Ang isang kampanya ay inaalok bilang isang demo na bersyon ng produkto, na kinabibilangan ng pag-deploy ng mga template at pagsasagawa ng tatlong pag-atake sa pagsasanay.
Ang mga solusyon sa itaas ay bahagi lamang ng mga magagamit na produkto sa automated personnel training market. Siyempre, ang bawat isa ay may sariling mga pakinabang at disadvantages. Ngayong araw ay magkakakilala tayo , gayahin ang pag-atake ng phishing, at tuklasin ang mga available na opsyon.
GoPhish
Kaya, oras na para magsanay. Hindi nagkataon lang napili ang GoPhish: isa itong tool na madaling gamitin na may mga sumusunod na feature:
-
Pinasimpleng pag-install at pagsisimula.
-
Suporta sa REST API. Binibigyang-daan kang lumikha ng mga query mula sa at maglapat ng mga awtomatikong script.
-
Maginhawang graphical control interface.
-
Cross-platform.
Ang pangkat ng pagbuo ay naghanda ng isang mahusay sa pag-deploy at pag-configure ng GoPhish. Sa katunayan, ang kailangan mo lang gawin ay pumunta sa , i-download ang ZIP archive para sa kaukulang OS, patakbuhin ang panloob na binary file, pagkatapos ay mai-install ang tool.
MAHALAGANG PAUNAWA!
Bilang resulta, dapat kang makatanggap sa terminal ng impormasyon tungkol sa naka-deploy na portal, pati na rin ang data ng pahintulot (may kaugnayan para sa mga bersyon na mas luma kaysa sa bersyon 0.10.1). Huwag kalimutang mag-secure ng password para sa iyong sarili!
msg="Please login with the username admin and the password <ΠΠΠ ΠΠΠ¬>"Pag-unawa sa setup ng GoPhish
Pagkatapos ng pag-install, isang configuration file (config.json) ang gagawin sa application directory. Ilarawan natin ang mga parameter para sa pagbabago nito:
Key
Halaga (default)
ΠΠΏΠΈΡΠ°Π½ΠΈΠ΅
admin_server.listen_url
127.0.0.1:3333
IP address ng server ng GoPhish
admin_server.use_tls
hindi totoo
Ginagamit ba ang TLS para kumonekta sa server ng GoPhish
admin_server.cert_path
halimbawa.crt
Path sa SSL certificate para sa GoPhish admin portal
admin_server.key_path
halimbawa.susi
Path sa pribadong SSL key
phish_server.listen_url
0.0.0.0:80
IP address at port kung saan naka-host ang phishing page (bilang default ay naka-host ito sa GoPhish server mismo sa port 80)
β> Pumunta sa portal ng pamamahala. Sa kaso natin: https://127.0.0.1:3333
β> Hihilingin sa iyo na baguhin ang isang medyo mahabang password sa isang mas simple o vice versa.
Paglikha ng profile ng nagpadala
Pumunta sa tab na "Pagpapadala ng Mga Profile" at magbigay ng impormasyon tungkol sa user kung kanino magmumula ang aming pag-mail:
Saan:
Pangalan
Pangalan ng nagpadala
mula sa
Email ng nagpadala
Paghandaan
IP address ng mail server kung saan papakinggan ang papasok na mail.
username
Login ng user account ng mail server.
password
Password ng user account ng mail server.
Maaari ka ring magpadala ng pansubok na mensahe upang matiyak na matagumpay ang paghahatid. I-save ang mga setting gamit ang button na "I-save ang profile".
Paglikha ng isang pangkat ng mga tatanggap
Susunod, dapat kang bumuo ng isang grupo ng mga tatanggap ng "chain letters". Pumunta sa "User at Mga Grupo" β "Bagong Grupo". Mayroong dalawang paraan para magdagdag: manu-mano o mag-import ng CSV file.
Ang pangalawang paraan ay nangangailangan ng mga sumusunod na kinakailangang field:
-
Pangalan
-
Huling pangalan
-
Email
-
Posisyon
Bilang halimbawa:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Paggawa ng Phishing Email Template
Kapag natukoy na namin ang haka-haka na umaatake at mga potensyal na biktima, kailangan naming gumawa ng template na may mensahe. Upang gawin ito, pumunta sa seksyong "Mga Template ng Email" β "Mga Bagong Template".
Kapag bumubuo ng isang template, isang teknikal at malikhaing diskarte ang ginagamit; dapat na tukuyin ang isang mensahe mula sa serbisyo na magiging pamilyar sa mga gumagamit ng biktima o magdudulot sa kanila ng isang tiyak na reaksyon. Mga posibleng opsyon:
Pangalan
Pangalan ng Template
paksa
Paksa ng sulat
Text/HTML
Field para sa pagpasok ng text o HTML code
Sinusuportahan ng Gophish ang pag-import ng mga titik, ngunit gagawa kami ng sarili namin. Upang gawin ito, ginagaya namin ang isang senaryo: ang isang user ng kumpanya ay nakatanggap ng isang sulat na humihiling sa kanya na baguhin ang password mula sa kanyang corporate email. Susunod, suriin natin ang kanyang reaksyon at tingnan ang aming "catch."
Gagamit kami ng mga built-in na variable sa template. Higit pang mga detalye ay matatagpuan sa itaas seksyon .
Una, i-load natin ang sumusunod na teksto:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamAlinsunod dito, ang pangalan ng gumagamit ay awtomatikong ilalagay (ayon sa naunang tinukoy na item na "Bagong Grupo") at ang kanyang postal address ay ipahiwatig.
Susunod, dapat kaming magbigay ng isang link sa aming mapagkukunan ng phishing. Upang gawin ito, i-highlight ang salitang "dito" sa teksto at piliin ang opsyon na "Link" sa control panel.
Itatakda namin ang URL sa built-in na variable na {{.URL}}, na pupunan namin sa ibang pagkakataon. Awtomatiko itong mai-embed sa text ng phishing email.
Bago i-save ang template, huwag kalimutang paganahin ang opsyong "Magdagdag ng Imahe sa Pagsubaybay". Magdaragdag ito ng 1x1 pixel media element na susubaybay kung binuksan ng user ang email.
Kaya, wala nang natitira, ngunit ibubuod muna natin ang mga kinakailangang hakbang pagkatapos mag-log in sa portal ng Gophish:
-
Lumikha ng profile ng nagpadala;
-
Lumikha ng pangkat ng pamamahagi kung saan mo tinukoy ang mga user;
-
Gumawa ng template ng email sa phishing.
Sumang-ayon, hindi nagtagal ang pag-setup at halos handa na kaming ilunsad ang aming kampanya. Ang natitira na lang ay magdagdag ng pahina ng phishing.
Paglikha ng isang pahina ng phishing
Pumunta sa tab na "Mga Landing Page."
Kami ay sasabihan na tukuyin ang pangalan ng bagay. Posibleng i-import ang source site. Sa aming halimbawa, sinubukan kong tukuyin ang gumaganang web portal ng mail server. Alinsunod dito, na-import ito bilang HTML code (bagaman hindi ganap). Ang mga sumusunod ay mga kawili-wiling opsyon para sa pagkuha ng input ng user:
-
Kunin ang Naisumiteng Data. Kung ang tinukoy na pahina ng site ay naglalaman ng iba't ibang mga form ng pag-input, ang lahat ng data ay itatala.
-
Kunin ang Mga Password - makuha ang mga inilagay na password. Isinulat ang data sa database ng GoPhish nang walang pag-encrypt, gaya ng dati.
Bukod pa rito, maaari naming gamitin ang opsyong "I-redirect sa", na magre-redirect sa user sa isang tinukoy na page pagkatapos magpasok ng mga kredensyal. Ipaalala ko sa iyo na nagtakda kami ng senaryo kung saan sinenyasan ang user na baguhin ang password para sa corporate email. Upang gawin ito, inaalok siya ng isang pekeng pahina ng portal ng awtorisasyon ng mail, pagkatapos nito ay maaaring ipadala ang user sa anumang magagamit na mapagkukunan ng kumpanya.
Huwag kalimutang i-save ang nakumpletong pahina at pumunta sa seksyong "Bagong Kampanya".
Paglunsad ng GoPhish fishing
Ibinigay namin ang lahat ng kinakailangang impormasyon. Sa tab na "Bagong Campaign," gumawa ng bagong campaign.
Paglunsad ng kampanya
Saan:
Pangalan
Pangalan ng kampanya
Email na template
Template ng mensahe
Landing Page
Pahina ng phishing
URL
IP ng iyong GoPhish server (dapat may network reachability sa host ng biktima)
Ilunsad ang Petsa
Petsa ng pagsisimula ng kampanya
Magpadala ng mga Email Ni
Petsa ng pagtatapos ng kampanya (ibinahagi nang pantay-pantay ang pagpapadala ng koreo)
Nagpapadala ng Profile
Profile ng nagpadala
Grupo
Grupo ng tatanggap ng koreo
Pagkatapos ng simula, maaari tayong palaging pamilyar sa mga istatistika, na nagpapahiwatig ng: mga ipinadalang mensahe, nabuksan na mga mensahe, mga pag-click sa mga link, iniwan ang data na inilipat sa spam.
Mula sa mga istatistika, makikita natin na 1 mensahe ang ipinadala, tingnan natin ang mail mula sa gilid ng tatanggap:
Sa katunayan, matagumpay na nakatanggap ang biktima ng phishing email na humihiling sa kanya na sundan ang isang link upang baguhin ang password ng kanyang corporate account. Isinasagawa namin ang mga hiniling na aksyon, ipinadala kami sa Mga Landing Page, paano ang mga istatistika?
Bilang resulta, nag-click ang aming user sa isang link ng phishing, kung saan maaari niyang iwanan ang impormasyon ng kanyang account.
Tala ng may-akda: ang proseso ng pagpasok ng data ay hindi naitala dahil sa paggamit ng isang pagsubok na layout, ngunit may ganitong opsyon. Gayunpaman, ang nilalaman ay hindi naka-encrypt at naka-imbak sa GoPhish database, mangyaring tandaan ito.
Sa halip ng isang konklusyon
Ngayon ay hinawakan namin ang kasalukuyang paksa ng pagsasagawa ng automated na pagsasanay para sa mga empleyado upang maprotektahan sila mula sa mga pag-atake ng phishing at bumuo ng IT literacy sa kanila. Na-deploy ang Gophish bilang isang abot-kayang solusyon, na nagpakita ng magagandang resulta sa mga tuntunin ng oras at resulta ng pag-deploy. Gamit ang naa-access na tool na ito, maaari mong i-audit ang iyong mga empleyado at bumuo ng mga ulat sa kanilang pag-uugali. Kung interesado ka sa produktong ito, nag-aalok kami ng tulong sa pag-deploy nito at pag-audit sa iyong mga empleyado ([protektado ng email]).
Gayunpaman, hindi kami titigil sa pagsusuri ng isang solusyon at planong ipagpatuloy ang cycle, kung saan pag-uusapan natin ang tungkol sa mga solusyon sa Enterprise para sa pag-automate ng proseso ng pagsasanay at pagsubaybay sa seguridad ng empleyado. Manatili sa amin at maging mapagbantay!
Pinagmulan: www.habr.com