如今,网络管理员或信息安全工程师花费大量时间和精力来保护企业网络外围免受各种威胁,掌握用于预防和监控事件的新系统,但即使这样也不能保证完全的安全。 攻击者经常使用社会工程,并可能造成严重后果。
您是否经常想到:“为员工安排一次信息安全素养测试就好了”? 不幸的是,由于工作中的大量任务或有限的时间,思想会陷入误解。 我们计划向您介绍人员培训自动化领域的现代产品和技术,这不需要冗长的试点或实施培训,而是一切井然有序。
理论基础
如今,超过 80% 的恶意文件通过电子邮件分发(数据取自 Check Point 专家过去一年使用情报报告服务提供的报告)。
过去 30 天有关分发恶意文件的攻击媒介的报告(俄罗斯) - Check Point
这表明电子邮件中的内容很容易被攻击者利用。 如果我们考虑附件中最流行的恶意文件格式(EXE、RTF、DOC),值得注意的是,它们通常包含代码执行的自动元素(脚本、宏)。
关于收到的恶意邮件中的文件格式的年度报告 - Check Point
如何应对这种攻击向量? 检查邮件涉及使用安全工具:
-
杀毒软件 — 威胁的签名检测。
-
仿真 - 一个沙箱,用于在隔离环境中打开附件。
-
内容意识 — 从文档中提取活跃元素。 用户收到已清理的文档(通常为 PDF 格式)。
-
反垃圾邮件 — 检查收件人/发件人域的信誉。
而且,从理论上讲,这已经足够了,但对于公司来说还有另一种同样有价值的资源——员工的公司和个人数据。 近年来,以下类型的互联网欺诈行为日益流行:
网络钓鱼 (英文phishing,源自fishing——钓鱼、钓鱼)——网络诈骗的一种。 其目的是获取用户身份数据。 这包括盗窃密码、信用卡号、银行账户和其他敏感信息。
攻击者正在改进网络钓鱼攻击的方法,重定向来自热门网站的 DNS 请求,并使用社会工程发送电子邮件来发起整个活动。
因此,为了保护您的公司电子邮件免受网络钓鱼,建议使用两种方法,结合使用可以达到最佳效果:
-
技术保护工具。 如前所述,使用各种技术来仅检查和转发合法邮件。
-
人员理论培训。 它包括对人员进行全面测试,以确定潜在的受害者。 然后他们接受再培训并不断记录统计数据。
不要相信并检查
今天我们要讲的是预防网络钓鱼攻击的第二种方法,即自动化人员培训,以提高企业和个人数据的整体安全水平。 为什么这会如此危险?
社会工程学 — 对人们进行心理操纵,以执行某些行动或披露机密信息(与信息安全有关)。
典型网络钓鱼攻击部署场景图
让我们看一下一个有趣的流程图,它简要概述了网络钓鱼活动的过程。 它有不同的阶段:
-
原始数据的收集。
在21世纪,很难找到一个没有在任何社交网络或各种主题论坛上注册过的人。 当然,我们中的许多人都会留下有关自己的详细信息:当前工作地点、同事群组、电话、邮件等。 添加有关个人兴趣的个性化信息,您就拥有了形成网络钓鱼模板的数据。 即使我们找不到拥有此类信息的人,也总有一个公司网站,我们可以在其中找到我们感兴趣的所有信息(域电子邮件、联系人、联系)。
-
活动启动。
一旦你有了一个跳板,你就可以使用免费或付费工具来发起你自己的有针对性的网络钓鱼活动。 在邮寄过程中,您将累积统计数据:邮件已发送、邮件已打开、链接已点击、输入的凭据等。
市场上的产品
攻击者和公司信息安全员工都可以使用网络钓鱼来对员工行为进行持续审核。 公司员工自动化培训系统的免费和商业解决方案市场为我们提供了什么:
-
网络钓鱼 是一个开源项目,允许您部署网络钓鱼活动来检查员工的 IT 素养。 我认为优点是易于部署和最低的系统要求。 缺点是缺乏现成的邮件模板、缺乏针对员工的测试和培训材料。 -
KnowBe4 — 为测试人员提供大量可用产品的站点。 -
网络钓鱼者 — 用于测试和培训员工的自动化系统。 拥有多种版本的产品,支持从10名到1000多名员工。 培训课程包括理论和实践作业;可以根据网络钓鱼活动后获得的统计数据来确定需求。 该解决方案已商业化,并具有试用的可能性。 -
反网络钓鱼 — 自动化培训和安全监控系统。 商业产品提供定期的培训攻击、员工培训等。 活动作为产品的演示版本提供,其中包括部署模板和进行三种训练攻击。
以上解决方案仅是自动化人员培训市场现有产品的一部分。 当然,每种都有其自身的优点和缺点。 今天我们就来认识一下
网络钓鱼
所以,是时候练习了。 选择 GoPhish 并非偶然:它是一个用户友好的工具,具有以下功能:
-
简化安装和启动。
-
REST API 支持。 允许您创建查询
文件资料 并应用自动化脚本。 -
方便的图形控制界面。
-
跨平台。
开发团队准备了出色的
重要的提示!
因此,您应该在终端中收到有关已部署门户的信息以及授权数据(与 0.10.1 之前的版本相关)。 不要忘记为自己设置一个密码!
msg="Please login with the username admin and the password <ПАРОЛЬ>"
了解 GoPhish 设置
安装后,将在应用程序目录中创建配置文件(config.json)。 让我们描述一下更改它的参数:
关键
值(默认)
使用说明
admin_server.listen_url
127.0.0.1:3333
GoPhish服务器IP地址
admin_server.use_tls
false
是否使用 TLS 连接到 GoPhish 服务器
管理服务器.cert_path
示例.crt
GoPhish 管理门户的 SSL 证书路径
admin_server.key_path
示例.key
SSL 私钥的路径
网络钓鱼服务器.listen_url
0.0.0.0:80
托管网络钓鱼页面的 IP 地址和端口(默认情况下,它托管在 GoPhish 服务器本身的端口 80 上)
—> 转到管理门户。 在我们的例子中: https://127.0.0.1:3333
—> 系统会要求您将相当长的密码更改为更简单的密码,反之亦然。
创建发件人配置文件
转到“发送配置文件”选项卡并提供有关我们的邮件的发送用户的信息:
在哪里:
名字
发件人名称
从
发件人电子邮件
主办方
将侦听传入邮件的邮件服务器的 IP 地址。
用户名
邮件服务器用户帐户登录。
密码
邮件服务器用户帐户密码。
您还可以发送测试消息以确保发送成功。 使用“保存配置文件”按钮保存设置。
创建一组收件人
接下来,您应该组建一组“连锁信”收件人。 转到“用户和组”→“新建组”。 有两种添加方式:手动添加或导入 CSV 文件。
第二种方法需要以下必填字段:
-
名
-
姓
-
电邮
-
职务
作为一个例子:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]
创建网络钓鱼电子邮件模板
一旦我们确定了假想的攻击者和潜在的受害者,我们就需要创建一个包含消息的模板。 为此,请转到“电子邮件模板”→“新模板”部分。
在形成模板时,会使用技术和创造性的方法;应指定来自服务的消息,该消息对于受害者用户来说是熟悉的,或者会引起他们的某种反应。 可能的选项:
名字
模板名称
联系原因
主题行
文本/HTML
用于输入文本或 HTML 代码的字段
Gophish 支持导入字母,但我们将创建自己的字母。 为此,我们模拟一个场景:公司用户收到一封信,要求他更改公司电子邮件中的密码。 接下来,让我们分析他的反应并看看我们的“收获”。
我们将在模板中使用内置变量。 更多详细信息可以在上面找到
首先,让我们加载以下文本:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
因此,将自动输入用户的姓名(根据之前指定的“新组”项)并显示他的邮政地址。
接下来,我们应该提供网络钓鱼资源的链接。 为此,请突出显示文本中的“此处”一词,然后选择控制面板上的“链接”选项。
我们将 URL 设置为内置变量 {{.URL}},稍后我们将填充该变量。 它将自动嵌入网络钓鱼电子邮件的文本中。
在保存模板之前,不要忘记启用“添加跟踪图像”选项。 这将添加一个 1x1 像素媒体元素,用于跟踪用户是否打开了电子邮件。
所以,剩下的不多了,但首先我们将总结一下登录 Gophish 门户后所需的步骤:
-
创建发件人资料;
-
创建一个指定用户的通讯组;
-
创建网络钓鱼电子邮件模板。
同意,设置并没有花费太多时间,我们几乎准备好启动我们的活动了。 剩下的就是添加一个网络钓鱼页面。
创建网络钓鱼页面
转到“登陆页面”选项卡。
系统将提示我们指定对象的名称。 可以导入源站点。 在我们的示例中,我尝试指定邮件服务器的工作 Web 门户。 因此,它被导入为 HTML 代码(尽管不完全)。 以下是捕获用户输入的有趣选项:
-
捕获提交的数据。 如果指定的网站页面包含各种输入表单,则所有数据都会被记录。
-
捕获密码 - 捕获输入的密码。 数据按原样写入 GoPhish 数据库,未加密。
此外,我们可以使用“重定向到”选项,该选项会在输入凭据后将用户重定向到指定页面。 提醒一下,我们设置了一个场景,提示用户更改企业邮箱密码。 为此,他会获得一个虚假的邮件授权门户页面,之后可以将用户发送到任何可用的公司资源。
不要忘记保存完成的页面并转到“新活动”部分。
推出 GoPhish 钓鱼
我们已提供所有必要的信息。 在“新营销活动”选项卡中,创建一个新的营销活动。
活动启动
在哪里:
名字
活动名称
电邮模板
留言模板
登陆页面
钓鱼页面
网址
GoPhish 服务器的 IP(必须与受害者主机具有网络可达性)
发布日期
活动开始日期
发送电子邮件的方式
活动结束日期(邮件平均分配)
发送配置文件
发件人资料
组别
邮件收件人组
开始后,我们总是可以熟悉统计数据,其中显示:发送的消息、打开的消息、点击链接、留下的数据转移到垃圾邮件。
从统计中我们看到发送了 1 封邮件,我们来看看收件人这边的邮件:
事实上,受害者成功收到一封网络钓鱼电子邮件,要求他点击链接更改公司帐户密码。 我们执行请求的操作,我们被发送到登陆页面,统计数据怎么样?
结果,我们的用户点击了一个网络钓鱼链接,他可能会在其中留下他的帐户信息。
作者注: 由于使用测试布局,未记录数据输入过程,但存在这样的选项。 但是,内容未加密并存储在 GoPhish 数据库中,请记住这一点。
取而代之的是结论
今天我们讨论了当前的主题,即对员工进行自动化培训,以保护他们免受网络钓鱼攻击并培养他们的 IT 素养。 Gophish 是作为一种经济实惠的解决方案进行部署的,在部署时间和结果方面都显示出良好的效果。 通过这个易于使用的工具,您可以审核您的员工并生成有关他们行为的报告。 如果您对此产品感兴趣,我们将提供部署和审核您的员工的帮助([电子邮件保护]).
然而,我们不会停留在审查一个解决方案上,并计划继续这个循环,我们将讨论用于自动化培训过程和监控员工安全的企业解决方案。 和我们在一起并保持警惕!
来源: habr.com