Частью моей работы является проверка человеческого фактора безопасности в организациях путем создания и запуска фишинговых кампаний (по заказу, т.е. с разрешения компании!).
Проведение нескольких симуляций фишинговых кампаний каждый год может снизить вероятность того, что сотрудники будут нажимать на вредоносные ссылки, загружать вредоносные файлы или предоставлять важную внутреннюю информацию при контакте со злоумышленником. Проведение этих мероприятий, а затем их обсуждение в рамках выездного тренинга обычно дает наилучшие результаты.
В этой короткой статье я объясню, что такое фишинг и как легко создать фишинговую кампанию, чтобы каждый из нас мог лучше осознавать риски, с которыми мы и компании, в которых мы работаем, сталкиваемся каждый день.
Что такое фишинг?
Фишинг — это социальная инженерия. Это в основном включает в себя побуждение людей к действию, отправив электронное письмо.
Наиболее распространенным типом является фишинг учетных данных, когда злоумышленник пытается получить доступ к незашифрованным именам пользователей и паролям, чтобы получить первую точку входа в организацию. Другие типы фишинга могут содержать вредоносные файловые вложения, обычно связанные с полезной нагрузкой, вредоносным компонентом, помогающим заразить систему, созданным кем-то другим (например, Cobaltstrike).
Фишинг — это лишь один из способов, с помощью которых злоумышленник может установить первую внутреннюю позицию, другими способами могут быть вишинг (т. е. форма голосового «фишинга», осуществляемая посредством одного или нескольких телефонных », переданное с помощью смс), или другие формы манипуляции с использованием технологических или нетехнологических средств.
Фаза признания
Чтобы начать фишинг, при нацеливании на организацию первым шагом является создание базы данных людей, которые могут там работать (адреса электронной почты и контакты). Существует множество бесплатных инструментов и платформ, которые позволяют любому человеку собирать информацию из LinkedIn.
Фигура 1- https://rocketreach.co/
Rocket Reach, как и многие другие платформы, позволяет зарегистрированным пользователям находить действительные электронные письма, которые были частью утечки данных. С очень небольшим количеством попыток вы можете найти действительный адрес электронной почты для целевой компании, понимая, как он составлен (например. имя.фамилия@companyname.com) и упрощает заполнение базы данных.
Как только у нас будет база данных, если цель состоит в том, чтобы собрать учетные данные сотрудников, нам нужно будет выполнить базовое веб-перечисление в поисках порталов входа, используемых жертвой, и решить, какой из них мы собираемся выдать себя.
Фаза вооружения
Вторая часть предварительного этапа — вооружение или создание вооружения.
Если нашей целью является сбор учетных данных, для начала нам нужно будет подготовить среду, что означает покупку домена, который мы будем использовать для оценки фишинга, и настройку записей, связанных со службой электронной почты. Чтобы все было проще (и умнее), мы обычно настраиваем VPS (Virtual Private Server, экземпляр системы, работающий в виртуальной среде) с GoPhish, платформой, которая позволяет отправлять массовые электронные письма и собирать информацию о сельской местности.
Фигура 2 - https://github.com/gophish/gophish
Когда среда готова, мы приступаем к подготовке шаблона письма. Вот сложная часть: содержание шаблона может варьироваться в зависимости от типа кампании, независимо от того, является ли она целевой или нет.
В целевой фишинговой кампании мы обычно добавляем шаг на этапе разведки, когда мы OSInt цель, чтобы узнать их: как они общаются, как они структурированы, каковы их интересы и основные ценности и т. д. создать индивидуальный шаблон электронной почты, который мотивирует большинство сотрудников на желаемое действие.
Когда кампания нецелевая, она обычно передает темы, представляющие общий интерес (например, бонусы, лотереи и т. д.), которые взывают к какой-то потребности, желанию, страху и т. д. у читателя, побуждая его совершить действие, чтобы чтобы получить то, чего они жаждут, или предотвратить то, чего они боятся.
Когда мы выбираем кампанию по краже учетных данных, мы затем подготавливаем веб-страницу, которая позволяет их вводить и впоследствии отправлять на наш GoPhish (который помечает действие как «выполненное»). Портал, который мы создаем, обычно имеет характеристики (собранные на этапе разведки), которые напоминают о компании, чтобы казаться немного более законным и вызывать доверие.
Запуск кампании и сбор информации
После того, как все эти шаги выполнены, можно запускать кампанию. Кампании, скорее всего, будут запущены в «неудобное» время, например, ближе к обеденному перерыву или в конце рабочего дня; поэтому мы обычно выбираем один из этих двух моментов. Злоумышленники пытаются войти в систему в этих окнах, потому что сотрудники, скорее всего, будут отвлечены или утомлены, а значит, более склонны к выполнению желаемого действия.
GoPhish очень полезен, когда дело доходит до сбора данных; использование простого трекера в теле письма позволяет GoPhish отслеживать, какие пользователи открыли электронное письмо и сколько из них нажали на ссылку, которая попала на наш вредоносный портал. Наконец, он также отслеживает пользователей, которые ввели учетные данные.
Все эти данные могут быть полезны злоумышленнику:
- Трекер, который сообщает злоумышленнику, что электронное письмо было открыто, подтвердит действительность адреса электронной почты, который может быть использован во второй целевой кампании;
- Действие щелчка (даже если за ним не следует ввод учетных данных) может сигнализировать пользователю как потенциальное «слабое место»;
- Введенные учетные данные можно использовать для получения точки доступа к целевой инфраструктуре.
выводы
Понимание того, как думает и действует злоумышленник, может помочь улучшить защиту компании.
Укрепление самого слабого звена в цепи, почти всегда человека, может принести пользу как отдельным лицам, так и самой компании.
Непрерывное обучение пользователей, не только строго связанных с корпоративным периметром, но и со своим собственным, могло бы принести пользу обеим сторонам и, следовательно, быть более эффективным.
