Günümüzde bir ağ yöneticisi veya bilgi güvenliği mühendisi, kurumsal bir ağın çevresini çeşitli tehditlerden korumak, olayları önlemek ve izlemek için yeni sistemlerde uzmanlaşmak için çok fazla zaman ve çaba harcıyor, ancak bu bile tam güvenliği garanti etmiyor. Sosyal mühendislik saldırganlar tarafından aktif olarak kullanılıyor ve ciddi sonuçlar doğurabiliyor.
Kendinizi ne sıklıkla şunu düşünürken yakaladınız: "Personel için bilgi güvenliği okuryazarlığı konusunda bir test düzenlemek güzel olurdu"? Ne yazık ki düşünceler, iş gününde çok sayıda görev veya sınırlı zaman şeklinde bir yanlış anlaşılma duvarıyla karşılaşıyor. Personel eğitimi otomasyonu alanında, pilot uygulama veya uygulama için uzun bir eğitim gerektirmeyecek, ancak her şeyi sırayla anlatacak modern ürün ve teknolojileri size anlatmayı planlıyoruz.
Teorik temel
Günümüzde kötü amaçlı dosyaların %80'inden fazlası e-posta yoluyla dağıtılmaktadır (veriler, Intelligence Reports hizmetini kullanan Check Point uzmanlarının geçen yılki raporlarından alınmıştır).
Kötü amaçlı dosyaların dağıtımına yönelik saldırı vektörüne ilişkin son 30 güne ilişkin rapor (Rusya) - Check Point
Bu, e-posta mesajlarındaki içeriğin saldırganlar tarafından istismar edilmeye karşı oldukça savunmasız olduğunu göstermektedir. Eklerdeki en popüler kötü amaçlı dosya formatlarını (EXE, RTF, DOC) düşünürsek, bunların kural olarak otomatik kod yürütme öğeleri (komut dosyaları, makrolar) içerdiğini belirtmekte fayda var.
Alınan kötü amaçlı iletilerdeki dosya biçimlerine ilişkin yıllık rapor - Check Point
Bu saldırı vektörüyle nasıl başa çıkılır? Postaları kontrol etmek güvenlik araçlarının kullanılmasını gerektirir:
-
antivirüs — tehditlerin imza tespiti.
-
Emülasyon - eklerin yalıtılmış bir ortamda açıldığı bir sanal alan.
-
İçerik Farkındalığı — belgelerden etkin öğelerin çıkarılması. Kullanıcı temizlenmiş bir belge alır (genellikle PDF formatında).
-
Anti Spam — alıcı/gönderen etki alanının itibar açısından kontrol edilmesi.
Ve teoride bu yeterli, ancak şirket için eşit derecede değerli bir kaynak daha var - çalışanların kurumsal ve kişisel verileri. Son yıllarda, aşağıdaki İnternet dolandırıcılığı türlerinin popülaritesi aktif olarak artmaktadır:
Kimlik avı (İngilizce kimlik avı, balık tutma - balık tutma, balık tutma) - bir tür İnternet dolandırıcılığı. Amacı kullanıcı kimlik verilerini elde etmektir. Buna şifrelerin, kredi kartı numaralarının, banka hesaplarının ve diğer hassas bilgilerin çalınması da dahildir.
Saldırganlar kimlik avı saldırılarının yöntemlerini geliştiriyor, popüler sitelerden DNS isteklerini yeniden yönlendiriyor ve e-posta göndermek için sosyal mühendislik kullanarak kampanyaların tamamını başlatıyor.
Bu nedenle, kurumsal e-postanızı kimlik avına karşı korumak için iki yaklaşımın kullanılması önerilir ve bunların bir arada kullanılması en iyi sonuçlara yol açar:
-
Teknik koruma araçları. Daha önce de belirtildiği gibi, yalnızca meşru postaları kontrol etmek ve iletmek için çeşitli teknolojiler kullanılır.
-
Personelin teorik eğitimi. Potansiyel mağdurları tespit etmek için personele yönelik kapsamlı testlerden oluşur. Daha sonra yeniden eğitilirler ve istatistikler sürekli olarak kaydedilir.
Güvenmeyin ve kontrol edin
Bugün kurumsal ve kişisel verilerin genel güvenlik düzeyini artırmak amacıyla phishing saldırılarını önlemenin ikinci yaklaşımı olan otomatik personel eğitiminden bahsedeceğiz. Bu neden bu kadar tehlikeli olabilir?
sosyal mühendislik - belirli eylemleri gerçekleştirmek veya gizli bilgileri ifşa etmek (bilgi güvenliğiyle ilgili olarak) amacıyla insanların psikolojik manipülasyonu.
Tipik bir kimlik avı saldırısı dağıtım senaryosunun şeması
Kimlik avı kampanyasının yolculuğunu kısaca özetleyen eğlenceli bir akış şemasına göz atalım. Farklı aşamaları vardır:
-
Birincil verilerin toplanması.
21. yüzyılda herhangi bir sosyal ağda veya çeşitli tematik forumlarda kayıtlı olmayan birini bulmak zordur. Doğal olarak çoğumuz kendimiz hakkında ayrıntılı bilgiler bırakıyoruz: mevcut iş yerimiz, meslektaşlarımız için grup, telefon, posta vb. Bir kişinin ilgi alanları hakkındaki bu kişiselleştirilmiş bilgileri de eklediğinizde, bir kimlik avı şablonu oluşturacak verilere sahip olursunuz. Bu tür bilgilere sahip kişileri bulamasak bile, ilgilendiğimiz tüm bilgileri (alan adı e-postası, kişiler, bağlantılar) bulabileceğimiz bir şirket web sitesi her zaman vardır.
-
Kampanyanın başlatılması.
Bir sıçrama tahtası oluşturduktan sonra, kendi hedefli kimlik avı kampanyanızı başlatmak için ücretsiz veya ücretli araçları kullanabilirsiniz. Postalama işlemi sırasında istatistikleri toplayacaksınız: teslim edilen postalar, açılan postalar, tıklanan bağlantılar, girilen kimlik bilgileri vb.
Piyasadaki ürünler
Kimlik avı hem saldırganlar hem de şirket bilgi güvenliği çalışanları tarafından çalışan davranışlarının sürekli denetimini gerçekleştirmek amacıyla kullanılabilir. Şirket çalışanlarına yönelik otomatik eğitim sistemi için ücretsiz ve ticari çözümler pazarı bize neler sunuyor:
-
çalışanlarınızın BT okuryazarlığını kontrol etmek için bir kimlik avı kampanyası uygulamanıza olanak tanıyan açık kaynaklı bir projedir. Avantajların dağıtım kolaylığı ve minimum sistem gereksinimleri olduğunu düşünüyorum. Dezavantajları ise hazır posta şablonlarının olmayışı, personel için test ve eğitim materyallerinin olmayışıdır.
-
— Test personeli için çok sayıda mevcut ürünün bulunduğu bir site.
-
- çalışanların test edilmesi ve eğitilmesi için otomatik sistem. 10'dan 1000'den fazla çalışanı destekleyen çeşitli ürün versiyonlarına sahiptir. Eğitim kursları teorik ve pratik ödevleri içerir; bir kimlik avı kampanyasından sonra elde edilen istatistiklere dayanarak ihtiyaçları belirlemek mümkündür. Çözüm, deneme kullanım imkanı ile ticaridir.
-
— otomatik eğitim ve güvenlik izleme sistemi. Ticari ürün periyodik eğitim saldırıları, çalışan eğitimi vb. sunmaktadır. Ürünün demo versiyonu olarak şablonların dağıtılmasını ve üç eğitim saldırısının gerçekleştirilmesini içeren bir kampanya sunulmaktadır.
Yukarıdaki çözümler, otomatik personel eğitimi pazarındaki mevcut ürünlerin yalnızca bir parçasıdır. Elbette her birinin kendine göre avantajları ve dezavantajları var. Bugün tanışacağız , kimlik avı saldırısını simüle edin ve mevcut seçenekleri keşfedin.
GoPhish
Yani pratik yapmanın zamanı geldi. GoPhish şans eseri seçilmedi: aşağıdaki özelliklere sahip kullanıcı dostu bir araçtır:
-
Basitleştirilmiş kurulum ve başlatma.
-
REST API desteği. Şuradan sorgular oluşturmanıza olanak tanır: ve otomatik komut dosyalarını uygulayın.
-
Kullanışlı grafiksel kontrol arayüzü.
-
Çapraz platform.
Geliştirme ekibi mükemmel bir hazırlık hazırladı GoPhish'in dağıtımı ve yapılandırılması hakkında. Aslında tek yapmanız gereken gitmek , ilgili işletim sistemi için ZIP arşivini indirin, dahili ikili dosyayı çalıştırın, ardından araç kurulacaktır.
ÖNEMLİ UYARI!
Sonuç olarak, terminalde dağıtılan portal hakkındaki bilgilerin yanı sıra yetkilendirme verilerini de (0.10.1 sürümünden daha eski sürümlerle ilgili) almanız gerekir. Kendinize bir şifre belirlemeyi unutmayın!
msg="Please login with the username admin and the password <ПАРОЛЬ>"GoPhish kurulumunu anlama
Kurulumdan sonra uygulama dizininde bir konfigürasyon dosyası (config.json) oluşturulacaktır. Bunu değiştirmek için parametreleri açıklayalım:
Anahtar
Değer (varsayılan)
Açıklama
admin_server.listen_url
127.0.0.1:3333
GoPhish sunucusu IP adresi
admin_server.use_tls
yanlış
GoPhish sunucusuna bağlanmak için TLS kullanılıyor mu?
admin_server.cert_path
örnek.crt
GoPhish yönetici portalı için SSL sertifikasına giden yol
admin_server.key_path
örnek.anahtar
Özel SSL anahtarının yolu
phish_server.listen_url
0.0.0.0:80
Kimlik avı sayfasının barındırıldığı IP adresi ve bağlantı noktası (varsayılan olarak GoPhish sunucusunun kendisinde, 80 numaralı bağlantı noktasında barındırılır)
-> Yönetim portalına gidin. Bizim durumumuzda: https://127.0.0.1:3333
—> Oldukça uzun bir şifreyi daha basit bir şifreyle değiştirmeniz veya tam tersi istenecektir.
Gönderen profili oluşturma
“Gönderme Profilleri” sekmesine gidin ve postamızın gönderileceği kullanıcı hakkında bilgi sağlayın:
Nerede:
Name
Gönderen adı
Konum
Gönderenin e-postası
Ev Sahibi
Gelen postaların dinleneceği posta sunucusunun IP adresi.
Kullanıcı Adı
Posta sunucusu kullanıcı hesabı girişi.
Şifre
Posta sunucusu kullanıcı hesabı parolası.
Teslimatın başarılı olmasını sağlamak için bir test mesajı da gönderebilirsiniz. “Profili kaydet” butonunu kullanarak ayarları kaydedin.
Bir alıcı grubu oluşturma
Daha sonra, bir grup "zincirleme mektup" alıcısı oluşturmalısınız. “Kullanıcı ve Gruplar” → “Yeni Grup”a gidin. Eklemenin iki yolu vardır: manuel olarak veya bir CSV dosyasını içe aktararak.
İkinci yöntem aşağıdaki zorunlu alanları gerektirir:
-
İsim
-
Soyisim
-
e-posta
-
Pozisyon
Örnek olarak:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Kimlik Avı E-posta Şablonu Oluşturma
Hayali saldırganı ve potansiyel kurbanları belirledikten sonra mesaj içeren bir şablon oluşturmamız gerekiyor. Bunu yapmak için “E-posta Şablonları” → “Yeni Şablonlar” bölümüne gidin.
Şablon oluşturulurken teknik ve yaratıcı bir yaklaşım izlenir; servisten gelen, mağdur kullanıcılara tanıdık gelecek veya onlarda belli bir tepkiye neden olacak bir mesaj belirtilmelidir. Olası seçenekler:
Name
Şablon adı
Konu
Mektup konusu
Metin / HTML
Metin veya HTML kodunu girme alanı
Gophish harflerin içe aktarılmasını desteklemektedir, ancak biz kendimizinkini yaratacağız. Bunu yapmak için bir senaryo simüle ediyoruz: Bir şirket kullanıcısı, kurumsal e-postasından şifresini değiştirmesini isteyen bir mektup alır. Şimdi onun tepkisini analiz edelim ve "yakalamamıza" bakalım.
Şablonda yerleşik değişkenleri kullanacağız. Daha fazla ayrıntıyı yukarıda bulabilirsiniz bölüm .
Öncelikle aşağıdaki metni yükleyelim:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamBuna göre kullanıcının adı otomatik olarak girilecek (daha önce belirlenen “Yeni Grup” maddesine göre) ve posta adresi belirtilecektir.
Daha sonra, kimlik avı kaynağımıza bir bağlantı sağlamalıyız. Bunu yapmak için metinde "burada" kelimesini vurgulayın ve kontrol panelinde "Bağlantı" seçeneğini seçin.
URL'yi daha sonra dolduracağımız yerleşik {{.URL}} değişkenine ayarlayacağız. Kimlik avı e-postasının metnine otomatik olarak eklenecektir.
Şablonu kaydetmeden önce “Takip Resmi Ekle” seçeneğini etkinleştirmeyi unutmayın. Bu, kullanıcının e-postayı açıp açmadığını izleyen 1x1 piksellik bir medya öğesi ekleyecektir.
Yani geriye pek bir şey kalmadı ama önce Gophish portalına giriş yaptıktan sonra gerekli adımları özetleyeceğiz:
-
Bir gönderen profili oluşturun;
-
Kullanıcıları belirttiğiniz bir dağıtım grubu oluşturun;
-
Kimlik avı e-posta şablonu oluşturun.
Katılıyorum, kurulum fazla zaman almadı ve kampanyamızı başlatmaya neredeyse hazırız. Geriye kalan tek şey bir kimlik avı sayfası eklemektir.
Kimlik avı sayfası oluşturma
“Açılış Sayfaları” sekmesine gidin.
Nesnenin adını belirtmemiz istenecektir. Kaynak siteyi içe aktarmak mümkündür. Örneğimizde mail sunucusunun çalışan web portalını belirtmeye çalıştım. Buna göre (tamamen olmasa da) HTML kodu olarak içe aktarıldı. Kullanıcı girişini yakalamak için ilginç seçenekler şunlardır:
-
Gönderilen Verileri Yakalayın. Belirtilen site sayfası çeşitli giriş formları içeriyorsa, tüm veriler kaydedilecektir.
-
Şifreleri Yakala - girilen şifreleri yakalayın. Veriler GoPhish veritabanına olduğu gibi şifreleme olmadan yazılır.
Ek olarak, kullanıcıyı kimlik bilgilerini girdikten sonra belirli bir sayfaya yönlendirecek olan “Şuraya yönlendir” seçeneğini kullanabiliriz. Kullanıcıdan kurumsal e-posta şifresini değiştirmesinin istendiği bir senaryo belirlediğimizi hatırlatmama izin verin. Bunu yapmak için kendisine sahte posta yetkilendirme portalı sayfası sunulur ve ardından kullanıcı mevcut herhangi bir şirket kaynağına gönderilebilir.
Tamamladığınız sayfayı kaydedip “Yeni Kampanya” bölümüne gitmeyi unutmayın.
GoPhish balıkçılığının başlatılması
Gerekli tüm bilgileri verdik. “Yeni Kampanya” sekmesinde yeni bir kampanya oluşturun.
Bir kampanya başlatmak
Nerede:
Name
kampanya ismi
E-posta Şablonu
Mesaj şablonu
Açılış Sayfası
Kimlik avı sayfası
URL
GoPhish sunucunuzun IP'si (kurbanın ana bilgisayarıyla ağ erişilebilirliğine sahip olmalıdır)
Lansman tarihi
Kampanya başlangıç tarihi
E-postaları Gönder
Kampanya bitiş tarihi (postalama eşit şekilde dağıtılır)
Profil Gönderme
Gönderen profili
Gruplar
Posta alıcı grubu
Başladıktan sonra, gönderilen mesajları, açılan mesajları, bağlantılara tıklamaları, spam'e aktarılan verileri bırakan istatistikleri her zaman öğrenebiliriz.
İstatistiklerden 1 mesajın gönderildiğini görüyoruz, maili alıcı tarafından kontrol edelim:
Gerçekten de kurban, kurumsal hesap şifresini değiştirmek için bir bağlantıyı takip etmesini isteyen bir kimlik avı e-postasını başarıyla aldı. İstenilen işlemleri gerçekleştiriyoruz, Landing Page'lere yönlendiriliyoruz, peki ya istatistikler?
Sonuç olarak kullanıcımız, hesap bilgilerini bırakabileceği bir kimlik avı bağlantısını tıkladı.
Yazarın notu: test düzeni kullanıldığı için veri giriş süreci kaydedilmedi ancak böyle bir seçenek mevcut. Ancak içerik şifrelenmez ve GoPhish veritabanında saklanır, lütfen bunu aklınızda bulundurun.
Bunun yerine bir sonuca
Bugün, çalışanlarımızı kimlik avı saldırılarından korumak ve BT okuryazarlığını geliştirmek amacıyla otomatik eğitim verilmesi konusuna değindik. Gophish, uygun maliyetli bir çözüm olarak dağıtıldı ve dağıtım süresi ve sonuç açısından iyi sonuçlar verdi. Bu erişilebilir araçla çalışanlarınızı denetleyebilir ve davranışlarına ilişkin raporlar oluşturabilirsiniz. Bu ürünle ilgileniyorsanız, ürünün dağıtımı ve çalışanlarınızın denetlenmesi konusunda yardım sunuyoruz ([e-posta korumalı]).
Ancak tek bir çözümü incelemekle yetinmeyeceğiz ve eğitim sürecini otomatikleştirmeye ve çalışan güvenliğini izlemeye yönelik Kurumsal çözümler hakkında konuşacağımız döngüyü sürdürmeyi planlıyoruz. Bizimle kalın ve uyanık olun!
Kaynak: habr.com