כיצד מבוצעים מסעות פרסום דיוג ואיזה נתונים שימושיים לתוקפים

חלק מתפקידי הוא לבחון את המרכיב האנושי של אבטחה בארגונים על ידי יצירה והשקה של קמפיינים של פישינג (בעמלה, כלומר מורשה לעשות זאת על ידי החברה!).

הפעלת כמה סימולציות של קמפיינים דיוגים מדי שנה עשויה להפחית את הסבירות שעובדים ילחצו על קישורים זדוניים, יורידו קבצים זדוניים או יספקו מידע פנימי קריטי כאשר תוקף יתקשר אליהם. ביצוע פעילויות אלו ולאחר מכן דיון בהן באמצעות אימון הסברה מניב בדרך כלל את התוצאות הטובות ביותר.

במאמר קצר זה אסביר מהו פישינג וכמה קל ליצור קמפיין פישינג, כך שכל אחד מאיתנו יוכל להיות מודע יותר לסיכונים שאנו והחברות בהן אנו עובדים מתמודדים מדי יום.

מה זה פישינג?

פישינג היא פעילות הנדסה חברתית. זה בעצם כרוך לגרום לאנשים לנקוט בפעולה על ידי שליחת אימייל.

הסוג הנפוץ ביותר הוא התחזות של אישורים, שבו התוקף מנסה לקבל גישה לשמות משתמש וסיסמאות בטקסט פשוט כדי להשיג נקודת כניסה ראשונה לארגון. סוגים אחרים של דיוג עשויים לשאת קבצים מצורפים זדוניים, בדרך כלל הקשורים למטען, רכיב זדוני שעוזר להדביק מערכת, שנוצר על ידי מישהו אחר (לדוגמה, Cobaltstrike).

פישינג הוא רק אחת הדרכים שבהן תוקף יכול לבסס עמדה פנימית ראשונה, דרכים אחרות יכולות להיות ווישינג (כלומר סוג של "דיוג" קולי המתבצע באמצעות שיחת טלפון אחת או יותר למטרה), סמישינג ("פישינג") "המועבר באמצעות sms), או צורות אחרות של מניפולציה באמצעים טכנולוגיים או לא טכנולוגיים.

שלב ההכרה

כדי להתחיל פישינג, בעת מיקוד לארגון, הצעד הראשון הוא יצירת מסד נתונים של אנשים שעשויים לעבוד שם (כתובות אימייל ואנשי קשר). ישנם כלים ופלטפורמות חינמיות רבות המאפשרות לכל אחד לאסוף מידע מ-LinkedIn.

^{_{איור 1- https://rocketreach.co/}}

Rocket Reach, כמו פלטפורמות רבות אחרות, מאפשרת למשתמשים רשומים לגלות מיילים תקפים שהיו חלק מפרצות מידע. עם מעט מאוד ניסיונות אתה יכול למצוא דוא"ל תקף עבור חברת היעד, להבין כיצד הוא מורכב (למשל. name.surname@companyname.com) ומקל מאוד על אכלוס מסד הנתונים.

ברגע שיש לנו את מסד הנתונים שלנו, אם המטרה היא לאסוף אישורי עובדים, נצטרך לעשות ספירת אינטרנט בסיסית בחיפוש אחר פורטלי ההתחברות המשמשים את הקורבן ולהחליט לאיזה מהם אנחנו הולכים להתחזות.

שלב הנשק

החלק השני של השלב המקדים הוא נשק, או יצירת חימוש.

אם המטרה שלנו היא לאסוף אישורים, מלכתחילה, נצטרך להכין את הסביבה, כלומר לקנות את הדומיין שבו נשתמש להערכת הדיוג והגדרת הרשומות הקשורות לשירות המייל. כדי להקל (וחכם יותר) אנחנו בדרך כלל מגדירים את ה-VPS (Virtual Private Server, מופע של מערכת שפועלת בסביבה וירטואלית) עם GoPhish, פלטפורמה שמאפשרת לשלוח מיילים המוני ולאסוף מידע על הכפר.

^{_{איור 2 - https://github.com/gophish/gophish}}

לאחר שהסביבה מוכנה, אנו ממשיכים להכין את תבנית המייל. הנה החלק המסובך: התוכן של התבנית יכול להשתנות בהתאם לסוג הקמפיין, בין אם הוא ממוקד או לא.

בקמפיין פישינג ממוקד, אנחנו בדרך כלל מוסיפים שלב בשלב הסיור שבו אנו מתכוונים למטרה להכיר אותם: איך הם מתקשרים, איך הם בנויים, מהם תחומי העניין והערכים המרכזיים שלהם וכו'. ליצור תבנית אימייל מותאמת המניעה את רוב העובדים לבצע את הפעולה הרצויה.

כאשר הקמפיין אינו ממוקד, הוא בדרך כלל מעביר נושאים בעלי עניין כללי (כגון בונוסים, הגרלות וכו') הפונים לסוג כלשהו של צורך, רצון, פחד וכו' אצל הקורא, מה שגורם לו לעשות מעשה לפי הסדר להשיג משהו שהם משתוקקים לו או למנוע ממשהו שהם חוששים ממנו להתרחש.

כאשר אנו בוחרים במסע פרסום של גניבת אישורים, אנו מכינים את דף האינטרנט המאפשר להזין אותם ולאחר מכן לשלוח אותם ל-GoPhish שלנו (שיסמן את הפעולה כ"בוצעה"). לפורטל שאנו בונים יש בדרך כלל מאפיינים (שנאספים בשלב הסיור) שמזכירים את החברה, כדי להיראות קצת יותר לגיטימי ולבנות אמון.

השקת קמפיין ואיסוף מידע

לאחר השלמת כל השלבים הללו, ניתן להפעיל את הקמפיין. יש סיכוי גבוה יותר שמסעות פרסום יושקו בזמנים 'לא נוחים' כמו סמוך להפסקת צהריים או בסוף יום העבודה; לכן, אנו בדרך כלל בוחרים באחד משני הרגעים הללו. תוקפים מנסים את ההתחברות הראשונית שלהם בחלונות אלה מכיוון שעובדים נוטים יותר להיות מוסחים או עייפים, ולכן נוטים יותר לנקוט בפעולה הרצויה.

GoPhish שימושי מאוד בכל הנוגע לאיסוף נתונים; שימוש במעקב פשוט בגוף המייל מאפשר ל-GoPhish לעקוב אחר המשתמשים שפתחו את המייל וכמה לחצו על הקישור שנחת בפורטל הזדוני שלנו. לבסוף, הוא גם עוקב אחר משתמשים שהזינו אישורים.

כל הנתונים האלה יכולים להיות שימושיים לתוקף:

• הגשש שיגיד לתוקף שהמייל נפתח יאשר את תקפות כתובת הדוא"ל שבה ניתן להשתמש במסע פרסום ממוקד שני;
• פעולת הלחיצה (גם כאשר לא אחריה הזנת האישורים), עלולה לאותת למשתמש כ"נקודת תורפה" פוטנציאלית;
• ניתן להשתמש באישורים שהוזנו כדי להשיג נקודת גישה לתשתית היעד.

מסקנות

הבנה כיצד תוקף חושב ופועל יכולה לעזור לשפר את ההגנה של החברה.

חיזוק החוליה החלשה ביותר בשרשרת, כמעט תמיד האדם, עשוי להועיל הן ליחידים והן לחברה עצמה.

ההכשרה המתמשכת של המשתמשים, לא רק המחוברת באופן קפדני להיקף הארגוני אלא גם למשתמשים שלו, יכולה להועיל לשני הצדדים ולפיכך להיות יעילה יותר.