如今,網路管理員或資訊安全工程師花費大量時間和精力來保護企業網路外圍免受各種威脅,掌握用於預防和監控事件的新系統,但即使這樣也不能保證完全的安全。 攻擊者經常使用社會工程,並可能造成嚴重後果。
您是否經常想到:「為員工安排一次資訊安全素養測試就好了」? 不幸的是,由於工作中的大量任務或有限的時間,思想會陷入誤解。 我們計劃向您介紹人員培訓自動化領域的現代產品和技術,這不需要冗長的試點或實施培訓,而是一切井然有序。
理論基礎
如今,超過 80% 的惡意文件是透過電子郵件分發的(數據取自 Check Point 專家過去一年使用情報報告服務的報告)。
過去 30 天有關分發惡意檔案的攻擊媒介的報告(俄羅斯) - Check Point
這表明電子郵件中的內容很容易被攻擊者利用。 如果我們考慮附件中最受歡迎的惡意檔案格式(EXE、RTF、DOC),值得注意的是,它們通常包含程式碼執行的自動元素(腳本、巨集)。
關於收到的惡意郵件中的文件格式的年度報告 - Check Point
如何應對這種攻擊向量? 檢查郵件涉及使用安全工具:
-
殺毒軟件 — 威脅的簽章偵測。
-
仿真 - 一個沙箱,用於在隔離環境中開啟附件。
-
內容意識 — 從文件中擷取活躍元素。 使用者收到已清理的文件(通常為 PDF 格式)。
-
反垃圾郵件 — 檢查收件人/寄件者網域的信譽。
而且,從理論上講,這已經足夠了,但對公司來說還有另一個同樣有價值的資源——員工的公司和個人資料。 近年來,以下類型的網路詐欺行為日益普及:
網路釣魚 (英文phishing,源自fishing-釣魚、釣魚)-網路詐騙的一種。 其目的是取得用戶身份資料。 這包括盜竊密碼、信用卡號、銀行帳戶和其他敏感資訊。
攻擊者正在改進網路釣魚攻擊的方法,重定向來自熱門網站的 DNS 請求,並使用社會工程發送電子郵件來發起整個活動。
因此,為了保護您的公司電子郵件免受網路釣魚,建議使用兩種方法,結合使用可以達到最佳效果:
-
技術保護工具。 如前所述,使用各種技術來僅檢查和轉發合法郵件。
-
人員理論培訓。 它包括對人員進行全面測試,以確定潛在的受害者。 然後他們接受再培訓並不斷記錄統計數據。
不要相信並檢查
今天我們要講的是預防網路釣魚攻擊的第二種方法,即自動化人員培訓,以提高企業和個人資料的整體安全水準。 為什麼會如此危險?
社會工程學 — 對人們進行心理操縱,以執行某些行動或揭露機密資訊(與資訊安全有關)。
典型網路釣魚攻擊部署場景圖
讓我們來看看一個有趣的流程圖,它簡要地概述了網路釣魚活動的過程。 它有不同的階段:
-
原始資料的收集。
在21世紀,很難找到一個沒有在任何社群網路或各種主題論壇上註冊過的人。 當然,我們中的許多人都會留下有關自己的詳細資訊:目前工作地點、同事群組、電話、郵件等。 添加有關個人興趣的個人化信息,您就擁有了形成網絡釣魚模板的數據。 即使我們找不到擁有此類資訊的人,也總有一個公司網站,我們可以在其中找到我們感興趣的所有資訊(網域電子郵件、聯絡人、聯絡人)。
-
活動啟動。
一旦你有了一個跳板,你就可以使用免費或付費工具來發起你自己的有針對性的網路釣魚活動。 在郵寄過程中,您將累積統計資料:郵件已發送、郵件已開啟、連結已點擊、輸入的憑證等。
市面上的產品
攻擊者和公司資訊安全員工都可以使用網路釣魚來持續審核員工行為。 公司員工自動化培訓系統的免費和商業解決方案市場為我們提供了什麼:
-
網絡釣魚 是一個開源項目,可讓您部署網路釣魚活動來檢查員工的 IT 素養。 我認為優點是易於部署和最低的系統需求。 缺點是缺乏現成的郵件範本、缺乏針對員工的測試和訓練教材。 -
KnowBe4 — 提供測試人員大量可用產品的站點。 -
釣魚人 — 用於測試和培訓員工的自動化系統。 擁有多種版本的產品,支援從10名到1000多名員工。 培訓課程包括理論和實踐作業;可以根據網路釣魚活動後獲得的統計數據來確定需求。 該解決方案已商業化,並具有試用的可能性。 -
反網絡釣魚 — 自動化訓練和安全監控系統。 商業產品提供定期的訓練攻擊、員工訓練等。 活動作為產品的演示版本提供,其中包括部署模板和進行三種訓練攻擊。
以上解決方案僅是自動化人員培訓市場現有產品的一部分。 當然,每種都有其自身的優點和缺點。 今天我們就來認識一下
網絡釣魚
所以,是時候練習了。 選擇 GoPhish 並非偶然:它是一個用戶友好的工具,具有以下功能:
-
簡化安裝和啟動。
-
REST API 支援。 允許您建立查詢
文件 並套用自動化腳本。 -
方便的圖形控制介面。
-
跨平台。
開發團隊準備了優秀的
重要的提示!
因此,您應該在終端機中收到有關已部署入口網站的資訊以及授權資料(與 0.10.1 之前的版本相關)。 不要忘記為自己設定一個密碼!
msg="Please login with the username admin and the password <ПАРОЛЬ>"
了解 GoPhish 設置
安裝後,將在應用程式目錄中建立設定檔(config.json)。 讓我們描述一下更改它的參數:
關鍵
值(預設)
描述
admin_server.listen_url
127.0.0.1:3333
GoPhish伺服器IP位址
管理伺服器.use_tls
假
是否使用 TLS 連接到 GoPhish 伺服器
管理伺服器.cert_path
例.crt
GoPhish 管理入口網站的 SSL 憑證路徑
admin_server.key_path
範例.key
SSL 私鑰的路徑
網路釣魚伺服器.listen_url
0.0.0.0:80
託管網路釣魚頁面的 IP 位址和連接埠(預設情況下,它託管在 GoPhish 伺服器本身的連接埠 80 上)
—> 前往管理入口網站。 在我們的例子中: https://127.0.0.1:3333
—> 系統會要求您將相當長的密碼變更為更簡單的密碼,反之亦然。
建立寄件者設定檔
前往「傳送設定檔」標籤並提供有關我們的郵件的傳送使用者的資訊:
在哪裡:
姓名
發件者姓名
起
寄件者電子郵件
提供
將偵聽傳入郵件的郵件伺服器的 IP 位址。
用戶名
郵件伺服器使用者帳號登入。
密碼:
郵件伺服器使用者帳號密碼。
您也可以發送測試訊息以確保發送成功。 使用“儲存設定檔”按鈕儲存設定。
建立一組收件者
接下來,您應該組成一組「連鎖信」收件人。 前往「使用者和群組」→「新建群組」。 有兩種新增方式:手動新增或匯入 CSV 檔案。
第二種方法需要以下必填欄位:
-
姓氏
-
名字
-
電子郵件
-
位置
舉個例子:
First Name,Last Name,Position,Email
Richard,Bourne,CEO,[email protected]
Boyd,Jenius,Systems Administrator,[email protected]
Haiti,Moreo,Sales & Marketing,[email protected]
建立網路釣魚電子郵件模板
一旦我們確定了假想的攻擊者和潛在的受害者,我們就需要建立一個包含訊息的範本。 為此,請前往“電子郵件範本”→“新範本”部分。
在形成模板時,會使用技術和創造性的方法;應指定來自服務的訊息,該訊息將為受害者用戶所熟悉或引起他們的某種反應。 可能的選項:
姓名
模板名稱
主題
信件主題
文字/HTML
用於輸入文字或 HTML 程式碼的字段
Gophish 支援導入字母,但我們將創建自己的字母。 為此,我們模擬一個場景:公司用戶收到一封信,要求他更改公司電子郵件中的密碼。 接下來,讓我們分析他的反應並看看我們的「收穫」。
我們將在模板中使用內建變數。 更多詳細資訊可以在上面找到
首先,讓我們載入以下文字:
{{.FirstName}},
The password for {{.Email}} has expired. Please reset your password here.
Thanks,
IT Team
因此,將自動輸入使用者的姓名(根據先前指定的「新群組」項目)並顯示他的郵寄地址。
接下來,我們應該提供網路釣魚資源的連結。 為此,請反白顯示文字中的“此處”一詞,然後選擇控制面板上的“連結”選項。
我們將 URL 設定為內建變數 {{.URL}},稍後我們將填入該變數。 它將自動嵌入網路釣魚電子郵件的文字中。
在儲存範本之前,不要忘記啟用“新增追蹤圖像”選項。 這將添加一個 1x1 像素媒體元素,用於追蹤使用者是否開啟了電子郵件。
所以,剩下的不多了,但首先我們將總結一下登入 Gophish 入口網站後所需的步驟:
-
建立寄件者資料;
-
建立一個指定使用者的通訊群組;
-
建立網路釣魚電子郵件範本。
同意,設定並沒有花費太多時間,我們幾乎準備好啟動我們的活動了。 剩下的就是新增一個網路釣魚頁面。
建立網路釣魚頁面
轉到“登陸頁面”標籤。
系統將提示我們指定物件的名稱。 可以導入來源站點。 在我們的範例中,我嘗試指定郵件伺服器的工作 Web 入口網站。 因此,它被導入為 HTML 程式碼(儘管不完全)。 接下來是捕捉用戶輸入的有趣選項:
-
捕獲提交的資料。 如果指定的網站頁麵包含各種輸入表單,則所有資料都會被記錄。
-
捕獲密碼 - 捕獲輸入的密碼。 資料以原樣寫入 GoPhish 資料庫,未加密。
此外,我們可以使用「重定向到」選項,該選項將在輸入憑證後將使用者重定向到指定頁面。 提醒一下,我們設定了一個場景,提示使用者更改企業郵箱密碼。 為此,他會獲得一個虛假的郵件授權入口網頁,之後可以將使用者傳送到任何可用的公司資源。
不要忘記儲存完成的頁面並轉到“新活動”部分。
推出 GoPhish 釣魚
我們已提供所有必要的資訊。 在「新行銷活動」標籤中,建立一個新的行銷活動。
發起活動
在哪裡:
姓名
活動名稱
電子郵件範本
留言模板
著陸頁
釣魚頁面
網址
GoPhish 伺服器的 IP(必須與受害者主機具有網路可及性)
發射日期
活動開始日期
發送電子郵件的方式
活動結束日期(郵件平均分配)
發送配置文件
寄件者資料
組
郵件收件者群組
開始後,我們總是可以熟悉統計數據,其中顯示:發送的訊息、打開的訊息、點擊連結、留下的數據轉移到垃圾郵件。
從統計中我們看到發送了 1 封郵件,我們來看看收件者這邊的郵件:
事實上,受害者成功收到一封網路釣魚電子郵件,要求他點擊連結更改公司帳戶密碼。 我們執行請求的操作,我們被傳送到登陸頁面,統計數據怎麼樣?
結果,我們的用戶點擊了一個網絡釣魚鏈接,他可能會在其中留下他的帳戶資訊。
作者註: 由於使用測試佈局,未記錄資料輸入過程,但存在這樣的選項。 但是,內容未加密並儲存在 GoPhish 資料庫中,請記住這一點。
取而代之的是結論
今天我們討論了當前的主題,即對員工進行自動化培訓,以保護他們免受網路釣魚攻擊並培養他們的 IT 素養。 Gophish 是作為一種經濟實惠的解決方案進行部署的,在部署時間和結果方面都顯示出良好的效果。 透過這個易於使用的工具,您可以審核您的員工並產生有關他們行為的報告。 如果您對此產品感興趣,我們將提供部署和審核您的員工的協助([電子郵件保護]).
然而,我們不會停留在審查一個解決方案上,並計劃繼續這個循環,我們將討論用於自動化培訓過程和監控員工安全的企業解決方案。 和我們在一起並保持警惕!
來源: www.habr.com