1. Обучение пользователей основам ИБ. Борьба с фишингом

1. Обучение пользователей основам ИБ. Борьба с фишингом

На сегодняшний день сетевой администратор или инженер ИБ тратит уйму времени и сил, чтобы защитить периметр сети предприятия от различных угроз, осваивает все новые системы предотвращения и мониторинга событий, но даже это не гарантирует ему полной защищенности. Социальная инженерия активно используется злоумышленниками и может нести за собой серьезные последствия.

Как часто вы ловили себя на мысли: “Хорошо бы устроить проверку для персонала на предмет грамотности в ИБ”? К сожалению, мысли упираются в стену непонимания в виде большого числа задач или ограниченности времени рабочего дня. Мы планируем рассказать вам о современных продуктах и технологиях в области автоматизации обучения персонала, которые не будут требовать длительной подготовки для проведения пилотов или внедрения, но обо всем по порядку.

Теоретический фундамент

На сегодняшний день более 80% вредоносных файлов распространяется с помощью почты (данные взяты из отчетов специалистов Check Point за последний год с помощью сервиса Intelligence Reports).

Отчет за последние 30 дней о векторе атак по распространению вредоносных файлов (Россия) - Сheck Point

Это говорит о том, что содержимое в почтовых сообщениях достаточно уязвимо для использования злоумышленниками. Если рассматривать наиболее популярные вредоносные форматы файлов во вложениях (EXE, RTF, DOC), то стоит заметить, что в них, как правило, есть автоматические элементы исполнения кода (скрипты, макросы).

Годовой отчет о форматах файлов в полученных вредоносных сообщениях - Сheck Point

Как бороться с данным вектором атак? Проверка почты заключается в использовании инструментов безопасности: 

  • Antivirus - сигнатурное детектирование угроз.

  • Emulation - песочница, с помощью которой вложения открываются в изолированной среде.

  • Content Awareness - извлечение активных элементов из документов. Пользователь получает очищенный документ (как правило, в формате PDF).

  • AntiSpam - проверка домена получателя/отправителя на предмет репутации.

И, по идее, этого достаточно, но существует еще один не менее ценный ресурс для компании - корпоративные и личные данные сотрудников. В последние годы активно растет популярность следующего вида интернет-мошенничества:

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества. Его цель получить идентификационные данные пользователей. Сюда относятся кража паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.

Злоумышленники совершенствуют способы фишинг-атак, перенаправляют DNS-запросы от популярных сайтов, разворачивают целые кампании с использованием социальной инженерии для рассылки писем. 

Таким образом, для защиты вашей корпоративной почты от фишинга рекомендовано применять два подхода, причем их совместное использование приводит к наилучшим результатам:

  1. Технические инструменты защиты. Как и говорилось ранее, применяются различные технологии по проверке и пересылке только легитимной почты.

  2. Теоретическая подготовка персонала. Заключается в комплексном тестировании персонала для выявления потенциальных жертв. Далее проводится их переобучение, постоянно фиксируется статистика.   

Не доверяй и проверяй

Сегодня речь пойдет о втором подходе по предотвращению фишинговых атак, а именно об автоматизированном обучении персонала с целью повышения общего уровня защищенности корпоративных и личных данных. Почему же это может быть так опасно?

Социальная инженерия - психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации (применительно к ИБ).

Схема типового сценария развертывания фишинговой атаки

Давайте обратимся к занимательной блок-схеме, кратко отображающей путь по продвижению фишинговой кампании. В ней есть различные этапы:

  1. Сбор первичных данных.

    В 21 веке трудно найти человека, который не зарегистрирован ни в одной социальной сети или на различных тематических форумах. Естественно, многие из нас оставляют развернутую информацию о себе: место текущей работы, группа для коллег, телефон, почта и т.д. Добавьте к этому персонализированную информацию об интересах человека и вы получите данные для формирования фишингового шаблона. Даже если людей с такой информацией найти не удалось, всегда есть сайт компании, откуда можно подобрать всю интересующую нас информацию (доменную почту, контакты, связи).

  2. Запуск кампании.

    После того как будет подготовлен “плацдарм”, с помощью бесплатных или платных инструментов вы можете запустить свою собственную таргетированную фишинг-кампанию. В ходе работы рассылки у вас будет копиться статистика: доставленная почта, открытая почта, переход по ссылкам, ввод учетных данных и т.д.

Продукты на рынке

Фишинг могут использовать как злоумышленники, так и сотрудники ИБ компании, с целью проведения постоянного аудита поведения сотрудников. Что же нам предлагает рынок бесплатных и коммерческих решений по автоматизированной системе обучения сотрудников компании:

  1. GoPhish - опенсорсный проект, позволяющий развернуть фишинговую компанию с целью проверки IT-грамотности ваших сотрудников. К преимуществам я бы отнес простоту развертывания и минимальные системные требования. К недостаткам - отсутствие готовых шаблонов рассылки, отсутствие тестов и обучающих материалов для персонала.

  2. KnowBe4 - площадка с большим числом доступных продуктов для тестирования персонала.

  3. Phishman - автоматизированная система тестирования и обучения сотрудников. Имеет различные версии продуктов, поддерживающих от 10 до более 1000 сотрудников. Курсы обучения включают в себя теорию и практические задания, есть возможность выявления потребностей на основе полученной статистики после фишинговой компании. Решение коммерческое с возможностью триального использования.

  4. Антифишинг - автоматизированная система обучения и контроля защищенности. Коммерческий продукт предлагает проведение периодических учебных атак, обучение сотрудников и т.д. В качестве демо-версии продукта предлагается кампания, включающая в себя разворачивание шаблонов и проведение трех учебных атак.

Вышеперечисленные решения лишь часть доступных продуктов на рынке автоматизированного обучения персонала. Конечно же, у каждого есть свои преимущества и недостатки. Сегодня мы познакомимся с GoPhish , имитируем фишинговую атаку, изучим доступные опции.

GoPhish

Итак, пришло время для практики. GoPhish был выбран неслучайно: он представляет собой user-friendly инструмент, имеющий следующие особенности:

  1. Упрощенная установка и запуск.

  2. Поддержка REST API. Позволяет формировать запросы из документации и применять автоматизированные сценарии. 

  3. Удобный графический интерфейс управления.

  4. Кроссплатформенность.

Команда разработчиков подготовила отличный гайд по развертыванию и настройке GoPhish. На самом деле вам потребуется лишь перейти в репозиторий , скачать ZIP-архив для соответствующей ОС, запустить внутренний бинарный файл, после чего инструмент будет установлен.

ВАЖНАЯ ЗАМЕТКА!

В итоге вы должны получить в терминале информацию о развернутом портале, а также данные для авторизации (актуально для версии старше версии 0.10.1). Не забудьте зафиксировать для себя пароль!

msg="Please login with the username admin and the password <ПАРОЛЬ>"

Разбираемся с настройкой GoPhish

--> Перейдите в портал управления. В нашем случае: https://127.0.0.1:3333

--> Вам предложат изменить достаточно длинный пароль на более простой или наоборот.

Cоздание профиля отправителя

Перейдите во вкладку “Sending Profiles” и укажите данные о пользователе, от которого будет происходить наша рассылка:

Где:

Name

Имя отправителя

From

Почта отправителя

Host

IP-адрес почтового сервера, с которого будет прослушиваться входящая почта.

Username

Логин учетной записи пользователя почтового сервера.

Password

Пароль учетной записи пользователя почтового сервера.

Также вы можете отправить тестовое сообщение, чтобы убедиться в успехе доставки. Сохраните настройки с помощью кнопки “Save profile”.

Создание группы адресатов

Далее следует сформировать группу адресатов “писем счастья”. Перейдите в  “User & Groups” → “New Group”. Существует два способа добавления: вручную или импорт CSV файла.

Для второго способа требуется наличие обязательных полей:

  • First Name

  • Last Name

  • Email

  • Position

Как пример:

First Name,Last Name,Position,Email Richard,Bourne,CEO,rbourne@morningcatch.ph Boyd,Jenius,Systems Administrator,bjenius@morningcatch.ph Haiti,Moreo,Sales &amp; Marketing,hmoreo@morningcatch.ph

Создание шаблона фишингового письма

После того как мы указали воображаемого злоумышленника и потенциальных жертв, необходимо создать шаблон с сообщением. Для этого перейдите в раздел “Email Templates” → “New Templates”.

При формировании шаблона используется технический и творческий подход, следует указать сообщение от сервиса, который будет знаком пользователям-жертвам или вызовет у них определенную реакцию. Возможные опции:

Name

Название шаблона

Subject

Тема письма

Text / HTML

Поле для ввода текста или HTML-кода

Gophish поддерживает импорт письма, мы же создадим собственное. Для этого имитируем сценарий: пользователь компании получает письмо с предложением об изменении пароля от его корпоративной почты. Далее проанализируем его реакцию и посмотрим на наш “улов”.

В шаблоне будем использовать встроенные переменные. Более подробно с ними можно ознакомиться в вышеупомянутом гайде в разделе Template Reference .

Для начала загрузим следующий текст:

{{.FirstName}},  The password for {{.Email}} has expired. Please reset your password here.  Thanks, IT Team

Соответственно, в автоматическом режиме будет подставляться имя пользователя (согласно ранее заданному пункту “New Group”) и указываться его почтовый адрес.

Далее нам следует указать ссылку на наш фишинговый ресурс. Для этого выделим в тексте слово “here” и выберем опцию "Link" на панели управления.

В качестве URL укажем встроенную переменную {{.URL}}, которую мы заполним позже. Она автоматически будет встроена в текст фишингового письма.

Перед сохранением шаблона не забудьте включить опцию "Add Tracking Image". Это добавит медиа-элемент размером 1x1 пиксель, он будет отслеживать факт открытия письма пользователем.

Итак, осталось немного, но прежде резюмируем обязательные шаги после авторизации на портале Gophish: 

  1. Создать профиль отправителя;

  2. Создать группу рассылки, где указать пользователей;

  3. Создать шаблон фишингового письма.

Согласитесь, настройка не заняла много времени и мы уже почти готовы к запуску нашей кампании. Остается добавить фишинговую страницу.

Cоздание фишинговой страницы

Перейдите во вкладку  “Landing Pages”.

Нам предложат указать имя объекта. Есть возможность импорта сайта источника. В нашем примере я попробовал указать рабочий web-портал почтового сервера. Соответственно, он импортировался в виде HTML-кода (пусть и не полностью). Далее идут интересные опции по захвату введенных данных пользователя:

  • Capture Submitted Data. Если указанная страница сайта содержит различные формы для ввода, то все данные будут записываться.

  • Capture Passwords - захват введенных паролей. Данные записываются в БД GoPhish без шифрования, как есть.

Дополнительно можем использовать опцию “Redirect to”, которая перенаправит пользователя на заданную страницу после ввода учетных данных. Напомню, что мы задали сценарий, когда пользователю предлагается изменить пароль от корпоративной почты. Для этого ему предлагается фейковая страница портала авторизации почты, после чего пользователя можно отправить на любой доступный ресурс компании.

Не забываем сохранить заполненную страницу и переходим в раздел "New Campaign".

Запуск ловли GoPhish

Мы указали все необходимые данные. Во вкладке "New Campaign" создадим новую кампанию.

Запуск кампании

Где:

Name

Имя кампании

Email Template

Шаблон сообщения

Landing Page

Фишинговая страница

URL

IP вашего сервера GoPhish (должен иметь сетевую доступность с хостом жертвы)

Launch Date

Дата старта кампании

Send Emails By

Дата финиша кампании (рассылка распределяется равномерно)

Sending Profile

Профиль отправителя

Groups

Группа получателей рассылки

После старта мы всегда можем ознакомиться со статистикой, в которой указано: отправленные сообщения, открытые сообщения, переходы по ссылкам, оставленные данные перенос в спам.

Из статистики видим, что 1 сообщение было отправлено, проверим почту со стороны  получателя:

Действительно, жертва успешно получила фишинговое письмо с просьбой перейти по ссылке для смены пароля от корпоративного аккаунта. Выполняем запрашиваемые действия, нас отправляет на страницу Landing Pages, что со статистикой?

В итоге наш пользователь перешел по фишинговой ссылке, где потенциально мог оставить данные от своей учетной записи.

Примечание автора: процесс ввода данных не фиксировался по причине использования тестового макета, но такая опция есть. При этом содержимое не шифруется и хранится в БД GoPhish, учтите это.

Вместо заключения

Сегодня мы с вами затронули актуальную тему о проведение автоматизированного обучения сотрудников с целью защитить их от фишинговых атак и воспитать в них IT-грамотность. В качестве доступного решения был развернут Gophish, который показал себя с хорошей стороны при соотношении времени развертывания и результата. С помощью этого доступного инструмента вы сможете проверить своих сотрудников и составить отчеты по их поведению. Если вас заинтересовал этот продукт, мы предлагаем помощь в его развертывании и проведении аудита ваших сотрудников (sales@tssolution.ru).

Однако, мы не собираемся останавливаться на обзоре одного решения и планируем продолжать цикл, где расскажем про Enterprise-решения для автоматизации процесса обучения и контроля защищенности сотрудников. Оставайтесь с нами и будьте бдительны!

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.