Ngày nay, quản trị viên mạng hoặc kỹ sư bảo mật thông tin dành nhiều thời gian và công sức để bảo vệ mạng doanh nghiệp khỏi các mối đe dọa khác nhau, làm chủ các hệ thống mới để ngăn chặn và giám sát các sự kiện, nhưng ngay cả điều này cũng không đảm bảo an ninh hoàn toàn. Kỹ thuật xã hội được những kẻ tấn công tích cực sử dụng và có thể gây ra hậu quả nghiêm trọng.
Đã bao nhiêu lần bạn bắt gặp mình nghĩ: “Sẽ rất tốt nếu sắp xếp một bài kiểm tra kiến thức về an toàn thông tin cho nhân viên”? Thật không may, những suy nghĩ lại vấp phải bức tường hiểu lầm dưới hình thức một số lượng lớn nhiệm vụ hoặc thời gian trong ngày làm việc bị hạn chế. Chúng tôi dự định giới thiệu cho bạn về các sản phẩm và công nghệ hiện đại trong lĩnh vực tự động hóa đào tạo nhân sự, những sản phẩm và công nghệ này sẽ không yêu cầu đào tạo kéo dài để thí điểm hoặc triển khai mà là về mọi thứ theo trình tự.
Nền tảng lý thuyết
Ngày nay, hơn 80% tệp độc hại được phát tán qua email (dữ liệu được lấy từ các báo cáo từ các chuyên gia của Check Point trong năm qua sử dụng dịch vụ Báo cáo thông minh).
Báo cáo trong 30 ngày qua về vectơ tấn công phát tán tệp độc hại (Nga) - Check Point
Điều này cho thấy nội dung trong email rất dễ bị kẻ tấn công khai thác. Nếu chúng tôi xem xét các định dạng tệp độc hại phổ biến nhất trong tệp đính kèm (EXE, RTF, DOC), thì điều đáng chú ý là chúng thường chứa các phần tử thực thi mã tự động (tập lệnh, macro).
Báo cáo thường niên về định dạng file trong tin nhắn độc hại nhận được - Check Point
Làm thế nào để đối phó với vector tấn công này? Kiểm tra thư liên quan đến việc sử dụng các công cụ bảo mật:
-
antivirus - phát hiện dấu hiệu của các mối đe dọa.
-
Thi đua - một hộp cát để mở các tệp đính kèm trong một môi trường biệt lập.
-
Nhận thức về nội dung - trích xuất các phần tử hoạt động từ tài liệu. Người dùng nhận được một tài liệu đã được làm sạch (thường ở định dạng PDF).
-
Chống thư rác — kiểm tra danh tiếng của miền người nhận/người gửi.
Và về mặt lý thuyết, điều này là đủ, nhưng có một nguồn tài nguyên khác có giá trị không kém cho công ty - dữ liệu cá nhân và doanh nghiệp của nhân viên. Trong những năm gần đây, mức độ phổ biến của các loại lừa đảo Internet sau đây đang ngày càng gia tăng:
Lừa đảo (tiếng Anh phishing, từ fishing - câu cá, câu cá) - một loại hình lừa đảo trên Internet. Mục đích của nó là để có được dữ liệu nhận dạng người dùng. Điều này bao gồm việc đánh cắp mật khẩu, số thẻ tín dụng, tài khoản ngân hàng và các thông tin nhạy cảm khác.
Những kẻ tấn công đang cải tiến các phương pháp tấn công lừa đảo, chuyển hướng yêu cầu DNS từ các trang web phổ biến và khởi chạy toàn bộ chiến dịch sử dụng kỹ thuật xã hội để gửi email.
Do đó, để bảo vệ email công ty của bạn khỏi lừa đảo, bạn nên sử dụng hai phương pháp và việc sử dụng kết hợp chúng sẽ mang lại kết quả tốt nhất:
-
Dụng cụ bảo vệ kỹ thuật. Như đã đề cập trước đó, nhiều công nghệ khác nhau chỉ được sử dụng để kiểm tra và chuyển tiếp thư hợp pháp.
-
Đào tạo nhân sự lý thuyết. Nó bao gồm việc kiểm tra toàn diện nhân sự để xác định nạn nhân tiềm năng. Sau đó, họ được đào tạo lại và số liệu thống kê liên tục được ghi lại.
Đừng tin tưởng và kiểm tra
Hôm nay chúng ta sẽ nói về cách tiếp cận thứ hai để ngăn chặn các cuộc tấn công lừa đảo, cụ thể là đào tạo nhân sự tự động nhằm tăng mức độ bảo mật chung cho dữ liệu cá nhân và doanh nghiệp. Tại sao điều này có thể nguy hiểm như vậy?
kỹ thuật xã hội — thao túng tâm lý mọi người để thực hiện một số hành động nhất định hoặc tiết lộ thông tin bí mật (liên quan đến bảo mật thông tin).
Sơ đồ kịch bản triển khai tấn công lừa đảo điển hình
Chúng ta hãy xem một sơ đồ thú vị phác thảo ngắn gọn hành trình của một chiến dịch lừa đảo. Nó có các giai đoạn khác nhau:
-
Thu thập dữ liệu sơ cấp.
Ở thế kỷ 21, rất khó để tìm thấy một người không đăng ký trên bất kỳ mạng xã hội nào hoặc trên các diễn đàn chuyên đề khác nhau. Đương nhiên, nhiều người trong chúng ta để lại thông tin chi tiết về bản thân: nơi làm việc hiện tại, nhóm đồng nghiệp, điện thoại, thư từ, v.v. Thêm vào thông tin được cá nhân hóa này về sở thích của một người và bạn có dữ liệu để tạo mẫu lừa đảo. Ngay cả khi chúng tôi không thể tìm thấy những người có thông tin như vậy, vẫn luôn có trang web của công ty nơi chúng tôi có thể tìm thấy tất cả thông tin mà chúng tôi quan tâm (email tên miền, danh bạ, kết nối).
-
Phát động chiến dịch.
Khi đã có sẵn bàn đạp, bạn có thể sử dụng các công cụ miễn phí hoặc trả phí để khởi chạy chiến dịch lừa đảo có mục tiêu của riêng mình. Trong quá trình gửi thư, bạn sẽ tích lũy số liệu thống kê: thư đã gửi, thư đã mở, liên kết đã nhấp, thông tin đăng nhập đã nhập, v.v.
Sản phẩm trên thị trường
Lừa đảo có thể được sử dụng bởi cả những kẻ tấn công và nhân viên bảo mật thông tin của công ty để tiến hành kiểm tra liên tục hành vi của nhân viên. Thị trường các giải pháp thương mại và miễn phí dành cho hệ thống đào tạo tự động dành cho nhân viên công ty mang lại cho chúng ta những gì:
-
là một dự án nguồn mở cho phép bạn triển khai chiến dịch lừa đảo để kiểm tra trình độ CNTT của nhân viên. Tôi sẽ coi ưu điểm là dễ triển khai và yêu cầu hệ thống tối thiểu. Nhược điểm là thiếu mẫu gửi thư làm sẵn, thiếu bài kiểm tra và tài liệu đào tạo cho nhân viên.
-
- một địa điểm có số lượng lớn các sản phẩm sẵn có cho nhân viên thử nghiệm.
-
- hệ thống tự động để kiểm tra và đào tạo nhân viên. Có nhiều phiên bản sản phẩm đa dạng hỗ trợ từ 10 đến hơn 1000 nhân viên. Các khóa đào tạo bao gồm các bài tập lý thuyết và thực hành; có thể xác định nhu cầu dựa trên số liệu thống kê thu được sau một chiến dịch lừa đảo. Giải pháp này mang tính thương mại với khả năng sử dụng thử nghiệm.
-
- hệ thống giám sát an ninh và đào tạo tự động. Sản phẩm thương mại cung cấp các cuộc tấn công đào tạo định kỳ, đào tạo nhân viên, v.v. Một chiến dịch được cung cấp dưới dạng phiên bản demo của sản phẩm, bao gồm việc triển khai các mẫu và tiến hành ba cuộc tấn công huấn luyện.
Các giải pháp trên chỉ là một phần trong số các sản phẩm hiện có trên thị trường đào tạo nhân sự tự động. Tất nhiên, mỗi cái đều có ưu và nhược điểm riêng. Hôm nay chúng ta sẽ làm quen với , mô phỏng một cuộc tấn công lừa đảo và khám phá các tùy chọn có sẵn.
GoPhish
Vì vậy, đã đến lúc luyện tập. GoPhish không được chọn một cách tình cờ: nó là một công cụ thân thiện với người dùng với các tính năng sau:
-
Cài đặt và khởi động đơn giản.
-
Hỗ trợ API REST. Cho phép bạn tạo truy vấn từ và áp dụng các tập lệnh tự động.
-
Giao diện điều khiển đồ họa thuận tiện.
-
Đa nền tảng.
Nhóm phát triển đã chuẩn bị một cách xuất sắc về triển khai và cấu hình GoPhish. Trên thực tế, tất cả những gì bạn cần làm là vào , tải xuống kho lưu trữ ZIP cho hệ điều hành tương ứng, chạy tệp nhị phân bên trong, sau đó công cụ sẽ được cài đặt.
THÔNG BÁO QUAN TRỌNG!
Do đó, bạn sẽ nhận được thông tin đầu cuối về cổng đã triển khai cũng như dữ liệu ủy quyền (có liên quan đến các phiên bản cũ hơn phiên bản 0.10.1). Đừng quên bảo mật mật khẩu cho chính mình!
msg="Please login with the username admin and the password <ПАРОЛЬ>"Hiểu cách thiết lập GoPhish
Sau khi cài đặt, một tệp cấu hình (config.json) sẽ được tạo trong thư mục ứng dụng. Hãy mô tả các tham số để thay đổi nó:
Ключ
Giá trị (mặc định)
Описание
admin_server.listen_url
127.0.0.1:3333
Địa chỉ IP máy chủ GoPhish
admin_server.use_tls
sai
TLS có được sử dụng để kết nối với máy chủ GoPhish không
admin_server.cert_path
ví dụ.crt
Đường dẫn đến chứng chỉ SSL cho cổng quản trị GoPhish
admin_server.key_path
ví dụ.key
Đường dẫn đến khóa SSL riêng
phish_server.listen_url
0.0.0.0:80
Địa chỉ IP và cổng nơi lưu trữ trang lừa đảo (theo mặc định, nó được lưu trữ trên chính máy chủ GoPhish trên cổng 80)
—> Đi tới cổng quản lý. Trong trường hợp của chúng ta: https://127.0.0.1:3333
—> Bạn sẽ được yêu cầu thay đổi mật khẩu khá dài thành mật khẩu đơn giản hơn hoặc ngược lại.
Tạo hồ sơ người gửi
Chuyển đến tab “Gửi hồ sơ” và cung cấp thông tin về người dùng mà chúng tôi sẽ gửi thư:
Trong đó:
Họ tên
Tên người gửi
Từ
Email của người gửi
Máy chủ
Địa chỉ IP của máy chủ thư nơi thư đến sẽ được lắng nghe.
Tên đăng nhập (Username)
Đăng nhập tài khoản người dùng máy chủ thư.
Mật khẩu
Mật khẩu tài khoản người dùng máy chủ thư.
Bạn cũng có thể gửi tin nhắn thử nghiệm để đảm bảo gửi thành công. Lưu cài đặt bằng nút “Save profile”.
Tạo nhóm người nhận
Tiếp theo, bạn nên thành lập một nhóm người nhận “chuỗi thư”. Chuyển đến “Người dùng & Nhóm” → “Nhóm mới”. Có hai cách để thêm: thủ công hoặc nhập tệp CSV.
Phương pháp thứ hai yêu cầu các trường bắt buộc sau:
-
Tên
-
Họ
-
E-mail
-
Chức vụ
Ví dụ:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]Tạo mẫu email lừa đảo
Sau khi xác định được kẻ tấn công tưởng tượng và nạn nhân tiềm năng, chúng ta cần tạo một mẫu có thông báo. Để thực hiện việc này, hãy đi tới phần “Mẫu email” → “Mẫu mới”.
Khi tạo mẫu, phương pháp tiếp cận kỹ thuật và sáng tạo sẽ được sử dụng; thông báo từ dịch vụ phải được chỉ định sẽ quen thuộc với người dùng nạn nhân hoặc sẽ gây ra cho họ một phản ứng nhất định. Các tùy chọn có thể:
Họ tên
Tên mẫu
Tiêu Đề
Chủ đề thư
Văn bản/HTML
Trường để nhập văn bản hoặc mã HTML
Gophish hỗ trợ nhập chữ cái, nhưng chúng tôi sẽ tạo chữ cái của riêng mình. Để làm điều này, chúng tôi mô phỏng một tình huống: một người dùng của công ty nhận được một lá thư yêu cầu anh ta thay đổi mật khẩu từ email công ty của mình. Tiếp theo, hãy phân tích phản ứng của anh ấy và nhìn vào “con cá” của chúng ta.
Chúng tôi sẽ sử dụng các biến tích hợp trong mẫu. Thông tin chi tiết có thể được tìm thấy ở trên phần .
Đầu tiên, hãy tải văn bản sau:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT TeamTheo đó, tên của người dùng sẽ được nhập tự động (theo mục “Nhóm mới” được chỉ định trước đó) và địa chỉ bưu điện của người đó sẽ được chỉ định.
Tiếp theo, chúng ta nên cung cấp một liên kết đến tài nguyên lừa đảo của mình. Để thực hiện việc này, hãy đánh dấu từ “ở đây” trong văn bản và chọn tùy chọn “Liên kết” trên bảng điều khiển.
Chúng tôi sẽ đặt URL thành biến tích hợp {{.URL}} mà chúng tôi sẽ điền vào sau. Nó sẽ tự động được nhúng vào văn bản của email lừa đảo.
Trước khi lưu mẫu, đừng quên bật tùy chọn “Thêm hình ảnh theo dõi”. Điều này sẽ thêm phần tử phương tiện pixel 1x1 để theo dõi xem người dùng đã mở email hay chưa.
Vì vậy, không còn nhiều nữa, nhưng trước tiên chúng tôi sẽ tóm tắt các bước cần thiết sau khi đăng nhập vào cổng Gophish:
-
Tạo hồ sơ người gửi;
-
Tạo một nhóm phân phối nơi bạn chỉ định người dùng;
-
Tạo mẫu email lừa đảo.
Đồng ý, quá trình thiết lập không mất nhiều thời gian và chúng tôi gần như đã sẵn sàng khởi động chiến dịch của mình. Tất cả những gì còn lại là thêm một trang lừa đảo.
Tạo một trang lừa đảo
Chuyển đến tab “Trang đích”.
Chúng tôi sẽ được nhắc chỉ định tên của đối tượng. Có thể nhập trang nguồn. Trong ví dụ của chúng tôi, tôi đã cố gắng chỉ định cổng web đang hoạt động của máy chủ thư. Theo đó, nó được nhập dưới dạng mã HTML (mặc dù không hoàn toàn). Sau đây là các tùy chọn thú vị để thu thập thông tin đầu vào của người dùng:
-
Ghi lại dữ liệu đã gửi. Nếu trang web được chỉ định chứa nhiều biểu mẫu đầu vào khác nhau thì tất cả dữ liệu sẽ được ghi lại.
-
Chụp mật khẩu - chụp mật khẩu đã nhập. Dữ liệu được ghi vào cơ sở dữ liệu GoPhish mà không cần mã hóa.
Ngoài ra, chúng tôi có thể sử dụng tùy chọn “Chuyển hướng đến”, tùy chọn này sẽ chuyển hướng người dùng đến một trang được chỉ định sau khi nhập thông tin xác thực. Hãy để tôi nhắc bạn rằng chúng tôi đã đặt ra một tình huống trong đó người dùng được nhắc thay đổi mật khẩu cho email công ty. Để làm điều này, anh ta được cung cấp một trang cổng ủy quyền thư giả, sau đó người dùng có thể được gửi đến bất kỳ tài nguyên sẵn có nào của công ty.
Đừng quên lưu trang đã hoàn thành và chuyển đến phần “Chiến dịch mới”.
Ra mắt dịch vụ câu cá GoPhish
Chúng tôi đã cung cấp tất cả các thông tin cần thiết. Trong tab “Chiến dịch mới”, hãy tạo chiến dịch mới.
Khởi động chiến dịch
Trong đó:
Họ tên
Tên chiến dịch
Mẫu email
Mẫu tin nhắn
Trang hạ cánh
Trang lừa đảo
URL
IP của máy chủ GoPhish của bạn (phải có khả năng kết nối mạng với máy chủ của nạn nhân)
Ngày ra mắt
Ngày bắt đầu chiến dịch
Gửi email bởi
Ngày kết thúc chiến dịch (thư được phân bổ đều)
Đang gửi hồ sơ
Hồ sơ người gửi
Du lịch Nhóm
Nhóm người nhận thư
Sau khi bắt đầu, chúng ta luôn có thể làm quen với số liệu thống kê cho biết: tin nhắn đã gửi, tin nhắn đã mở, số lần nhấp vào liên kết, dữ liệu còn lại bị chuyển vào thư rác.
Từ thống kê chúng ta thấy có 1 tin nhắn đã được gửi đi, chúng ta hãy kiểm tra thư từ phía người nhận:
Thật vậy, nạn nhân đã nhận thành công một email lừa đảo yêu cầu anh ta nhấp vào liên kết để thay đổi mật khẩu tài khoản công ty của mình. Chúng tôi thực hiện các hành động được yêu cầu, chúng tôi được đưa đến Trang đích, còn số liệu thống kê thì sao?
Kết quả là người dùng của chúng tôi đã nhấp vào một liên kết lừa đảo, nơi anh ta có thể để lại thông tin tài khoản của mình.
Ghi chú của tác giả: quá trình nhập dữ liệu không được ghi lại do sử dụng bố cục thử nghiệm, nhưng vẫn tồn tại tùy chọn như vậy. Tuy nhiên, nội dung không được mã hóa và được lưu trữ trong cơ sở dữ liệu GoPhish, vui lòng ghi nhớ điều này.
Thay vì một kết luận
Hôm nay chúng ta đã đề cập đến chủ đề hiện tại là tiến hành đào tạo tự động cho nhân viên nhằm bảo vệ họ khỏi các cuộc tấn công lừa đảo và phát triển kiến thức về CNTT cho họ. Gophish được triển khai như một giải pháp hợp lý, mang lại kết quả tốt về mặt thời gian và kết quả triển khai. Với công cụ có thể truy cập này, bạn có thể kiểm tra nhân viên của mình và tạo báo cáo về hành vi của họ. Nếu bạn quan tâm đến sản phẩm này, chúng tôi sẽ hỗ trợ triển khai và kiểm tra nhân viên của bạn ([email được bảo vệ]).
Tuy nhiên, chúng tôi sẽ không dừng lại ở việc xem xét một giải pháp và dự định tiếp tục chu trình, trong đó chúng tôi sẽ nói về các giải pháp Doanh nghiệp để tự động hóa quy trình đào tạo và giám sát an ninh nhân viên. Ở lại với chúng tôi và cảnh giác!
Nguồn: www.habr.com