Сегодня мы изучим Gophish — фреймворк, который позволяет проверить реакцию сотрудников компании на фишерские послания. Его идея оказалась настолько привлекательной, что фишеры уже стали делать собственные средства автоматизации по его подобию.

В одной из прошлых статей мы приводили примеры использования социального инжиниринга в практике известных пентестеров. Важную роль в их методах играли фишинговые письма, заставлявшие людей добровольно сдавать ключи от крепости. Сегодня это стало популярным способом аудита, и для него уже созданы средства автоматизации. Защитный фишинг служит вакцинацией и помогает избавить компанию от гнилой рыбы.

WARNING


Статья написана в исследовательских целях. Вся информация в ней носит ознакомительный характер и адресована специалистам по безопасности.
 

Ловля сетью и острогой

Изначально фишинг рассматривался как общий способ мошенничества, адаптировавший старые схемы к реалиям интернета. Затем он разделился на два основных направления: массовый и целевой. Большинство фишинговых сообщений носят массовый характер и не направлены ни на кого конкретно. Они затрагивают разные группы людей и берут числом сообщений. Наспех слепленные письма о мнимых крупных выигрышах игнорирует большинство опытных пользователей, но и на всякого мудреца довольно простоты. Кто-то действительно недавно участвовал в лотерее и с нетерпением ждет результата розыгрыша (вот только разыграют его самого), кто-то просто алчен по натуре, а кто-то просто кликает на все подряд, надеясь на антивирус. Поэтому даже набивший оскомину «нигерийский спам» до сих пор приносит свои плоды.

Куда более изощренный вид атак — целевой, или spear-phishing. В январе прошлого года из-за такой атаки крупная европейская биржа Bitstamp лишилась почти девятнадцати тысяч биткойнов — более пяти миллионов долларов по установленному на тот момент курсу. Расследование показало, что целевой фишинг, направленный на руководителей биржи, продолжался больше месяца. Все это время им не только приходили поддельные письма (как обычно, содержащие ссылку на зараженный сайт либо инфицированное вложение), но и отправлялись менее тривиальные сообщения по разным каналам, включая мессенджеры.

Каждое из них было продумано в мельчайших деталях и составлено с учетом личных интересов получателя. Например, технического директора биржи пытались заинтересовать через Skype бесплатными билетами на фестиваль панк-рок-музыки, на который он как раз мечтал попасть (больше пишите о своих желаниях в соцсетях!). Для получения билетов предлагалось заполнить приложенную анкету в формате MS Word с макросом внутри. Примитивно? Да, но ведь сработало! Другое дело, что в тот раз атакующим не повезло: документ открыли на компьютере, не имеющем доступ к кошельку биржи.

Однако фишеры не сдавались. На смену одним уловкам приходили новые. Частота получения фишинговых сообщений увеличивалась, и в конечном счете сисадмин биржи Лука Кодрич стал жертвой своего тщеславия. Ему очень польстило приглашение стать почетным членом Ассоциации вычислительной техники. Не видя предупреждений Microsoft Word и антивируса, сквозь слезы умиления он запустил инфицированный документ на рабочем компьютере. В пару кликов кандидат в почетные админы отдал неустановленным лицам самый дорогой сердцу каждого майнера файл — wallet.dat, данные кошелька биржи вместе со всеми паролями и доступом к обоим серверам. Четыре дня авторы макроса переводили средства, пока Лука кусал локти. Если бы на бирже практиковался регулярный аудит с имитацией фишинга, то Лука получил бы хорошую прививку.

 

Готовим снасти

У фишинга как инструмента аудита есть масса плюсов, но и недостатков тоже хватает. Создание качественных подделок занимает уйму времени, а их отправка часто распознается и блокируется защитными системами — от простейших спам-фильтров до специализированных антифишинговых. Поэтому, чтобы проверить реакцию своих систем и сотрудников на качественно составленные фишинговые письма, отделу безопасности приходится тратить рабочее время на тщательную подготовку. Упростить эту рутинную процедуру помогают новые инструменты — автоматизированные системы отправки поддельных писем и сбора статистики откликов на них.

Специалист по безопасности Джордан Райт (Jordan Wright) в начале этого года приступил к разработке Gophish — фреймворка с открытым исходным кодом, позволяющего быстро выяснить реакцию сотрудников на фишинговые письма. Изначально фреймворк разрабатывался для ускорения экспресс-аудита в собственной компании, но сейчас его возможности постепенно расширяются.

В названии Gophish заложена игра слов: это и призыв к фишингу (в благих целях), и указание на язык разработки Go, придуманный в Google. Последняя предварительная версия фреймворка — Gophish v.0.2 совместима с 32-битными и 64-разрядными версиями Windows, Mac и Linux. Она поддерживает ускоренную отправку писем через gomail, составление модальных диалогов через sweetalert2, создание всевозможных шаблонов, а также планирование и запуск фишинговых кампаний по расписанию.

 

Готовим прикорм

Обычно тестовая рассылка считается эффективной симуляцией фишинга только в том случае, если на отправленные письма среагировало более трети сотрудников. Как именно — уже другой вопрос. Одни клюнут на удочку, другие оповестят администратора, третьи просто удалят послание. Поэтому письмо составляется так, чтобы сразу заинтересовать целые отделы внутри проверяемой организации.

Как настоящая, так и тестовая фишинговая кампания должна иметь свежий инфоповод, касающийся большинства потенциальных жертв. Проще всего отыскать его на официальном сайте проверяемой компании. Это могут быть готовящиеся сделки, анонс нового продукта, проведение конференции и множество других событий. Главное, чтобы они были на слуху.

Одно из таких событий становится темой письма. Дальше уже начинается полет фантазии, но не слишком высокий. Если письмо сильно отличается по стилю от остальных, оно вызовет подозрения. Впрочем, это касается только внутренней переписки. Письмо извне может иметь совершенно произвольный стиль.

Как правило, основной текст письма служит для усыпления бдительности. В нем надо сообщить побольше общеизвестных фактов прежде, чем предложить сотруднику выполнить что-то потенциально опасное: перейти по ссылке, открыть документ, изменить настройки, отправить скан паспорта и фотографии банковской карты с двух сторон. Это и будет конечным действием, к выполнению которого фишер побуждает разными методами. Он может нагонять скуку или напирать на безотлагательность ответа, слать нелепые угрозы и деловые предложения, апеллировать к алчности, тщеславию, любопытству и прочим человеческим качествам.

Все ответы собирает фишинговый сервер, разбирая письма на составляющие. Оценка результатов тестовой кампании дает представление о тех сотрудниках, доступ которым лучше временно ограничить до повышения их уровня компетентности в вопросах безопасности. Не стоит делать исключений для руководящего состава, хоть он наверняка и будет против. Именно руководители становятся главной мишенью целевого фишинга и наносят максимальный ущерб своей фирме в случае прокола.

Реальную пользу такие проверки будут приносить только при условии их регулярного проведения, разнообразия и сочетания кнута с пряником. Нельзя постоянно держать людей в страхе — они привыкают к такому состоянию и перестают адекватно реагировать. Достойно выдержавшие экзамен должны получать какие-то поощрения, но не исключаться из следующих тестов.

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


2 комментария

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Обвес macOS. Меняем скрытые настройки, ставим полезный софт и лезем под капот системы, перейдя на «мак»

Уверен, ты не раз слышал, что в Apple всё решают за пользователя и в macOS ничего нельзя т…