Bugungi kunda tarmoq ma'muri yoki axborot xavfsizligi bo'yicha muhandis korxona tarmog'ining perimetrini turli tahdidlardan himoya qilish, hodisalarni oldini olish va kuzatish uchun yangi tizimlarni o'zlashtirish uchun ko'p vaqt va kuch sarflaydi, ammo bu ham to'liq xavfsizlikni kafolatlamaydi. Ijtimoiy muhandislik hujumchilar tomonidan faol qo'llaniladi va jiddiy oqibatlarga olib kelishi mumkin.
“Xodimlar uchun axborot xavfsizligi savodxonligi bo'yicha test tashkil qilish yaxshi bo'lardi” degan o'yga qanchalik tez-tez duch keldingiz? Afsuski, fikrlar ko'p sonli vazifalar yoki ish kunida cheklangan vaqt shaklida tushunmovchilik devoriga tushadi. Biz sizga kadrlar tayyorlashni avtomatlashtirish sohasidagi zamonaviy mahsulotlar va texnologiyalar haqida gapirib berishni rejalashtirmoqdamiz, bu tajriba yoki amalga oshirish uchun uzoq muddatli treningni talab qilmaydi, lekin hamma narsa tartibda.
Nazariy asos
Bugungi kunda zararli fayllarning 80% dan ortig'i elektron pochta orqali tarqatiladi (ma'lumotlar Intelligence Reports xizmatidan foydalangan holda o'tgan yil davomida Check Point mutaxassislarining hisobotlaridan olingan).
So'nggi 30 kun davomida zararli fayllarni tarqatish uchun hujum vektori haqida hisobot (Rossiya) - Check Point
Bu shuni ko'rsatadiki, elektron pochta xabarlari tarkibi tajovuzkorlar tomonidan ekspluatatsiya qilish uchun juda zaifdir. Agar biz qo'shimchalardagi (EXE, RTF, DOC) eng mashhur zararli fayl formatlarini ko'rib chiqsak, ular, qoida tariqasida, kodni bajarishning avtomatik elementlarini (skriptlar, makrolar) o'z ichiga olishini ta'kidlash kerak.
Qabul qilingan zararli xabarlardagi fayl formatlari bo'yicha yillik hisobot - Check Point
Ushbu hujum vektori bilan qanday kurashish mumkin? Pochtani tekshirish xavfsizlik vositalaridan foydalanishni o'z ichiga oladi:
-
antivirus — tahdidlarni imzo bilan aniqlash.
-
o'xshatish - izolyatsiya qilingan muhitda qo'shimchalar ochiladigan qum qutisi.
-
Kontentdan xabardorlik — hujjatlardan faol elementlarni ajratib olish. Foydalanuvchi tozalangan hujjatni oladi (odatda PDF formatida).
-
Antispam — qabul qiluvchi/jo‘natuvchi domenini obro‘-e’tiborga tekshirish.
Va, nazariy jihatdan, bu etarli, ammo kompaniya uchun yana bir qimmatli manba mavjud - xodimlarning korporativ va shaxsiy ma'lumotlari. So'nggi yillarda Internetdagi firibgarlikning quyidagi turlarining mashhurligi faol o'sib bormoqda:
Phishing (inglizcha fishing, baliq ovlashdan - baliq ovlash, baliq ovlash) - Internetdagi firibgarlikning bir turi. Uning maqsadi foydalanuvchi identifikatsiya ma'lumotlarini olishdir. Bunga parollar, kredit karta raqamlari, bank hisoblari va boshqa maxfiy ma'lumotlarni o'g'irlash kiradi.
Buzg'unchilar fishing hujumlari usullarini takomillashtirmoqda, mashhur saytlardan DNS so'rovlarini qayta yo'naltirmoqda va elektron pochta xabarlarini yuborish uchun ijtimoiy muhandislikdan foydalangan holda butun kampaniyalarni ishga tushirmoqda.
Shunday qilib, korporativ elektron pochtangizni fishingdan himoya qilish uchun ikkita yondashuvdan foydalanish tavsiya etiladi va ulardan birgalikda foydalanish eng yaxshi natijalarga olib keladi:
-
Texnik himoya vositalari. Yuqorida aytib o'tilganidek, faqat qonuniy xatlarni tekshirish va yuborish uchun turli texnologiyalar qo'llaniladi.
-
Xodimlarni nazariy tayyorlash. U potentsial qurbonlarni aniqlash uchun xodimlarni har tomonlama sinovdan o'tkazishdan iborat. Keyin ular qayta o'qitilib, statistika doimiy ravishda qayd etiladi.
Ishonmang va tekshirmang
Bugun biz fishing hujumlarining oldini olishning ikkinchi usuli, ya'ni korporativ va shaxsiy ma'lumotlar xavfsizligining umumiy darajasini oshirish uchun xodimlarni avtomatlashtirilgan o'qitish haqida gaplashamiz. Nega bu juda xavfli bo'lishi mumkin?
ijtimoiy muhandislik — muayyan harakatlarni amalga oshirish yoki maxfiy maʼlumotlarni oshkor qilish maqsadida odamlarni psixologik manipulyatsiya qilish (axborot xavfsizligiga nisbatan).
Fishing hujumining odatiy stsenariysi diagrammasi
Keling, fishing kampaniyasining sayohatini qisqacha tavsiflovchi qiziqarli oqim sxemasini ko'rib chiqaylik. Uning turli bosqichlari mavjud:
-
Birlamchi ma'lumotlarni to'plash.
21-asrda hech qanday ijtimoiy tarmoqda yoki turli tematik forumlarda ro'yxatdan o'tmagan odamni topish qiyin. Tabiiyki, ko'pchiligimiz o'zimiz haqida batafsil ma'lumot qoldiramiz: hozirgi ish joyi, hamkasblar uchun guruh, telefon, pochta va boshqalar. Bu shaxsning qiziqishlari haqidagi shaxsiy ma'lumotlarni qo'shing va sizda fishing shablonini yaratish uchun ma'lumotlar mavjud. Agar biz bunday ma'lumotlarga ega bo'lgan odamlarni topa olmasak ham, har doim bizni qiziqtirgan barcha ma'lumotlarni (domen elektron pochtasi, kontaktlar, ulanishlar) topishingiz mumkin bo'lgan kompaniya veb-sayti mavjud.
-
Kampaniyaning boshlanishi.
Tramplinni o'rnatganingizdan so'ng, o'zingizning maqsadli fishing kampaniyangizni boshlash uchun bepul yoki pullik vositalardan foydalanishingiz mumkin. Pochta jo'natish jarayonida siz statistik ma'lumotlarni to'playsiz: etkazib berilgan pochta, ochilgan pochta, bosilgan havolalar, kiritilgan hisob ma'lumotlari va boshqalar.
Bozordagi mahsulotlar
Fishingdan tajovuzkorlar ham, kompaniyaning axborot xavfsizligi xodimlari tomonidan ham xodimlar xatti-harakatlarining doimiy auditini o'tkazish uchun foydalanish mumkin. Kompaniya xodimlari uchun avtomatlashtirilgan o'qitish tizimi uchun bepul va tijorat echimlari bozori bizga nimani taklif qiladi:
-
xodimlaringizning IT savodxonligini tekshirish uchun fishing kampaniyasini oʻtkazish imkonini beruvchi ochiq manbali loyihadir. Men afzalliklarni joylashtirish qulayligi va minimal tizim talablari deb hisoblayman. Kamchiliklari - tayyor pochta shablonlarining yo'qligi, test sinovlari va xodimlar uchun o'quv materiallarining yo'qligi.
-
— xodimlarni sinovdan o'tkazish uchun ko'p miqdordagi mavjud mahsulotlarga ega sayt.
-
— xodimlarni sinovdan o‘tkazish va o‘qitishning avtomatlashtirilgan tizimi. 10 dan 1000 dan ortiq xodimlarni qo'llab-quvvatlaydigan mahsulotlarning turli xil versiyalariga ega. O'quv kurslari nazariy va amaliy topshiriqlarni o'z ichiga oladi, fishing kampaniyasidan so'ng olingan statistik ma'lumotlarga asoslanib, ehtiyojlarni aniqlash mumkin. Yechim sinovdan foydalanish imkoniyati bilan tijoratdir.
-
— o‘qitish va xavfsizlikni nazorat qilishning avtomatlashtirilgan tizimi. Savdo mahsuloti davriy o'qitish hujumlarini, xodimlarni o'qitishni va hokazolarni taklif qiladi. Kampaniya mahsulotning demo versiyasi sifatida taqdim etiladi, u shablonlarni joylashtirish va uchta o'quv hujumini o'tkazishni o'z ichiga oladi.
Yuqoridagi echimlar avtomatlashtirilgan kadrlar tayyorlash bozorida mavjud mahsulotlarning faqat bir qismidir. Albatta, har birining o'ziga xos afzalliklari va kamchiliklari bor. Bugun biz bilan tanishamiz , fishing hujumini simulyatsiya qiling va mavjud variantlarni o'rganing.
GoPhish
Shunday qilib, mashq qilish vaqti keldi. GoPhish tasodifan tanlanmagan: bu quyidagi xususiyatlarga ega foydalanuvchilarga qulay vosita:
-
Soddalashtirilgan o'rnatish va ishga tushirish.
-
REST API qo'llab-quvvatlash. dan so'rovlar yaratish imkonini beradi va avtomatlashtirilgan skriptlarni qo'llang.
-
Qulay grafik boshqaruv interfeysi.
-
Kross-platforma.
Rivojlanish guruhi ajoyib tayyorladi GoPhish-ni joylashtirish va sozlash bo'yicha. Aslida, siz qilishingiz kerak bo'lgan yagona narsa - borish , mos keladigan OS uchun ZIP arxivini yuklab oling, ichki ikkilik faylni ishga tushiring, shundan so'ng vosita o'rnatiladi.
MUHIM OGOHLANTIRISH!
Natijada siz terminalda o'rnatilgan portal haqida ma'lumot, shuningdek avtorizatsiya ma'lumotlarini olishingiz kerak (0.10.1 versiyasidan eski versiyalar uchun tegishli). O'zingiz uchun parolni himoya qilishni unutmang!
msg="Please login with the username admin and the password <ПАРОЛЬ>"GoPhish sozlamalarini tushunish
O'rnatishdan so'ng dastur katalogida konfiguratsiya fayli (config.json) yaratiladi. Keling, uni o'zgartirish parametrlarini tavsiflaymiz:
Kalit
Qiymat (standart)
tavsifi
admin_server.listen_url
127.0.0.1:3333
GoPhish serverining IP manzili
admin_server.use_tls
yolg'on
TLS GoPhish serveriga ulanish uchun ishlatiladi
admin_server.cert_path
example.crt
GoPhish administrator portali uchun SSL sertifikatiga yo'l
admin_server.key_path
misol.kalit
Shaxsiy SSL kalitiga yo'l
phish_server.listen_url
0.0.0.0:80
IP manzili va fishing sahifasi joylashgan port (sukut bo'yicha u GoPhish serverining o'zida 80-portda joylashgan)
-> Boshqaruv portaliga o'ting. Bizning holatda: https://127.0.0.1:3333
—> Sizdan ancha uzun parolni oddiyroqqa yoki aksincha o'zgartirishingiz so'raladi.
Yuboruvchi profilini yaratish
“Profillarni jo‘natish” yorlig‘iga o‘ting va xatimiz kelib tushgan foydalanuvchi haqida ma’lumot bering:
Qaerda:
Ism
Yuboruvchining ismi
From
Yuboruvchining elektron pochtasi
mezbon
Kiruvchi xatlar tinglanadigan pochta serverining IP manzili.
Foydalanuvchi nomi
Pochta serveri foydalanuvchi hisobiga kirish.
Parol
Pochta serveri foydalanuvchi hisobi paroli.
Yetkazib berish muvaffaqiyatli bo'lishi uchun siz sinov xabarini ham yuborishingiz mumkin. "Profilni saqlash" tugmasi yordamida sozlamalarni saqlang.
Qabul qiluvchilar guruhini yaratish
Keyinchalik, siz "zanjirli harflar" oluvchilar guruhini yaratishingiz kerak. "Foydalanuvchi va guruhlar" → "Yangi guruh" ga o'ting. Qo'shishning ikki yo'li mavjud: qo'lda yoki CSV faylini import qilish.
Ikkinchi usul quyidagi kerakli maydonlarni talab qiladi:
-
Ism
-
Familiya
-
Email
-
vaziyat
Misol tariqasida:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Phishing elektron pochta shablonini yaratish
Xayoliy hujumchi va potentsial qurbonlarni aniqlaganimizdan so'ng, biz xabar bilan shablonni yaratishimiz kerak. Buni amalga oshirish uchun "Elektron pochta shablonlari" → "Yangi andozalar" bo'limiga o'ting.
Shablonni yaratishda texnik va ijodiy yondashuv qo'llaniladi, xizmatdan jabrlanuvchi foydalanuvchilarga tanish bo'lgan yoki ma'lum bir reaktsiyaga sabab bo'ladigan xabar ko'rsatilishi kerak. Mumkin variantlar:
Ism
Shablon nomi
Libos ID raqamini kiriting
Xatning mavzusi
Matn/HTML
Matn yoki HTML kodini kiritish uchun maydon
Gophish harflarni import qilishni qo'llab-quvvatlaydi, lekin biz o'zimiznikilarni yaratamiz. Buning uchun biz stsenariyni simulyatsiya qilamiz: kompaniya foydalanuvchisi korporativ elektron pochtasidan parolni o'zgartirishni so'rab xat oladi. Keyin, keling, uning reaktsiyasini tahlil qilamiz va "ushlash" ni ko'rib chiqamiz.
Biz shablonda o'rnatilgan o'zgaruvchilardan foydalanamiz. Batafsil ma'lumotni yuqorida topishingiz mumkin bo'lim .
Birinchidan, quyidagi matnni yuklaymiz:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamShunga ko'ra, foydalanuvchi nomi avtomatik ravishda kiritiladi (oldindan ko'rsatilgan "Yangi guruh" bandiga ko'ra) va uning pochta manzili ko'rsatiladi.
Keyinchalik, biz fishing resursimizga havolani taqdim etishimiz kerak. Buni amalga oshirish uchun matndagi "bu erda" so'zini belgilang va boshqaruv panelidagi "Bog'lanish" opsiyasini tanlang.
URL manzilini oʻrnatilgan {{.URL}} oʻzgaruvchisiga oʻrnatamiz, uni keyinroq toʻldiramiz. U avtomatik ravishda fishing elektron pochtasi matniga kiritiladi.
Shablonni saqlashdan oldin "Kuzatuv rasmini qo'shish" opsiyasini yoqishni unutmang. Bu foydalanuvchi elektron pochtani ochgan-ochmaganligini kuzatadigan 1x1 pikselli media elementni qo'shadi.
Shunday qilib, ko'p narsa qolmadi, lekin avval biz Gophish portaliga kirganimizdan so'ng kerakli qadamlarni umumlashtiramiz:
-
Yuboruvchi profilini yaratish;
-
Foydalanuvchilarni ko'rsatadigan tarqatish guruhini yarating;
-
Fishing elektron pochta shablonini yarating.
Qabul qilaman, sozlash ko'p vaqtni talab qilmadi va biz kampaniyamizni boshlashga deyarli tayyormiz. Faqat fishing sahifasini qo'shish qoladi.
Fishing sahifasini yaratish
"Ochish sahifalari" yorlig'iga o'ting.
Bizdan ob'ekt nomini ko'rsatish so'raladi. Manba saytini import qilish mumkin. Bizning misolimizda men pochta serverining ishlaydigan veb-portalini ko'rsatishga harakat qildim. Shunga ko'ra, u HTML kod sifatida import qilingan (to'liq bo'lmasa ham). Quyidagilar foydalanuvchi ma'lumotlarini yozib olishning qiziqarli variantlari:
-
Yuborilgan ma'lumotlarni yozib oling. Agar ko'rsatilgan sayt sahifasida turli xil kiritish shakllari mavjud bo'lsa, unda barcha ma'lumotlar yozib olinadi.
-
Capture Passwords - kiritilgan parollarni yozib oling. Ma'lumotlar GoPhish ma'lumotlar bazasiga shifrlanmasdan yoziladi.
Bundan tashqari, biz hisob ma'lumotlarini kiritgandan so'ng foydalanuvchini ko'rsatilgan sahifaga yo'naltiradigan "Qayta yo'naltirish" opsiyasidan foydalanishimiz mumkin. Eslatib o'tamiz, biz foydalanuvchidan korporativ elektron pochta uchun parolni o'zgartirish talab qilinadigan stsenariyni o'rnatdik. Buning uchun unga soxta pochta avtorizatsiyasi portali sahifasi taklif etiladi, undan so'ng foydalanuvchi istalgan mavjud kompaniya resursiga yuborilishi mumkin.
Tugallangan sahifani saqlashni unutmang va "Yangi kampaniya" bo'limiga o'ting.
GoPhish baliq ovining ishga tushirilishi
Biz barcha kerakli ma'lumotlarni taqdim etdik. "Yangi kampaniya" yorlig'ida yangi kampaniya yarating.
Kampaniya boshlanishi
Qaerda:
Ism
Kampaniya nomi
Elektron pochta shabloni
Xabar shabloni
Landing Page
Fishing sahifasi
URL
GoPhish serveringizning IP-manzili (qurbonning xosti bilan tarmoqqa kirish imkoniyati bo'lishi kerak)
Ishga tushirish sanasi
Kampaniya boshlanish sanasi
tomonidan elektron pochta xabarlarini yuborish
Kampaniya tugash sanasi (pochta teng taqsimlanadi)
Profil yuborilmoqda
Yuboruvchi profili
Guruhlar
Pochtani qabul qiluvchilar guruhi
Ishga tushgandan so'ng, biz har doim statistika bilan tanishishimiz mumkin, ular: yuborilgan xabarlar, ochilgan xabarlar, havolalarni bosish, spamga o'tkazilgan ma'lumotlar qoldirildi.
Statistikaga ko'ra, biz 1 ta xabar yuborilganligini ko'ramiz, keling, pochtani oluvchi tomonidan tekshiramiz:
Haqiqatan ham, jabrlanuvchi o'zining korporativ akkaunti parolini o'zgartirish uchun havolaga rioya qilishni so'ragan fishing elektron pochta xabarini muvaffaqiyatli oldi. Biz so'ralgan harakatlarni bajaramiz, biz Landing Pagesga yuboriladi, statistika haqida nima deyish mumkin?
Natijada, bizning foydalanuvchi o'z hisob ma'lumotlarini qoldirishi mumkin bo'lgan fishing havolasini bosdi.
Muallif eslatmasi: test sxemasidan foydalanish tufayli ma'lumotlarni kiritish jarayoni qayd etilmagan, ammo bunday imkoniyat mavjud. Biroq, kontent shifrlanmagan va GoPhish ma'lumotlar bazasida saqlanadi, iltimos buni yodda tuting.
Xulosa o'rniga
Bugun biz xodimlarni fishing hujumlaridan himoya qilish va ularda IT savodxonligini rivojlantirish uchun avtomatlashtirilgan treninglar o'tkazishning dolzarb mavzusiga to'xtaldik. Gophish arzon yechim sifatida qo'llanildi, bu joylashtirish vaqti va natijasi bo'yicha yaxshi natijalarni ko'rsatdi. Ushbu qulay vosita yordamida siz xodimlaringizni tekshirishingiz va ularning xatti-harakatlari haqida hisobot yaratishingiz mumkin. Agar siz ushbu mahsulotga qiziqsangiz, uni joylashtirish va xodimlaringizni tekshirishda yordam beramiz ([elektron pochta bilan himoyalangan]).
Biroq, biz bitta yechimni ko'rib chiqishda to'xtamaymiz va tsiklni davom ettirishni rejalashtirmoqdamiz, bu erda biz o'quv jarayonini avtomatlashtirish va xodimlarning xavfsizligini monitoring qilish uchun Enterprise echimlari haqida gaplashamiz. Biz bilan qoling va hushyor bo'ling!
Manba: www.habr.com