Новое open source приложение Sample Phishing Toolkit до смешного упрощает процедуру выуживания сведений у офисных работников. Формально, эта утилита разработана для тренинга офисных сотрудников. Разумеется, злоумышленники могут использовать её не по назначению.
В своем простом виде программа Sample Phishing Toolkit включает в себя сайт-скрейпер, то есть поддельный сайт, контент которого полностью скопирован с других сайтов, например, корпоративного интранета или страницы регистрации.
Образовательная версия программы включает в себя надстройку, которая позволяет системным администраторам отслеживать то, каким образом работники реагируют на квазифишинговую программу: был ли произведен переход по ссылке или нет, дата и время перехода по ссылке, IP адрес пользователя, браузер и операционная система.
Создатели этого программного обеспечения, системные администраторы со стажем, пожелавшие не афишировать свои имена, отмечают, что написали программу, чтобы помочь компаниям рассказать своим офисным работникам об опасностях и последствиях фишинга.
Впервые Sample Phishing Toolkit был представлен публике в октябре 2011 года, сейчас вышла уже четвёртая версия. В образовательный модуль добавлена функция «учимся кликать по ссылке» (предупреждение пользователей о возможности загрузки вредоносного ПО), «обучение заполнению форм» (для предотвращения кражи учётных записей) и многое другое.
Утилита лишена функции сохранения незаконно полученных персональных данных, чтобы исключить возможность использования кибер-мошенниками, хотя сами разработчики заявляют, что такая функция может быть добавлена в следующих версиях программы.
Несмотря на то, что уже существуют аналогичные open source проекты, разработчики Sample Phishing Toolkit, говорят, что хотели бы реализовать более «легковесный» подход. «Мы хотели создать не имеющий себе равных проект, который ни стоит ни копейки денег, не занимает много времени, чтобы в нём разобраться», — говорит разработчик утилиты под ником Дерек.
Программа соответствует своему названию — Simple Phishing Toolkit — её очень просто устанавливать и очень просто пользоваться. Используя копию WampServer — бесплатного набора, включающего Apache, PHP и MySQL, менее чем за пять минут уже можно быть готовым к Gmail-фишингу.
Кажется, ещё не так давно идея подвергать фишингу своих сотрудников представлялась более чем сомнительной, но сегодня многие из компаний считают это частью корпоративного тренинга, а Simple Phishing Toolkit выглядит как наиболее успешная реализация этой задумки.
