Gophisch – Ethisches Phishing in unserem Unternehmen

Heute werden wir ein sehr vollständiges und gleichzeitig einfaches Tool sehen, Ein Open-Source-Tool, das uns dabei hilft, Sicherheitsbewusstseinsübungen in unserer Organisation durchzuführen. Wir werden internes Phishing durchführen, Eine Simulation, die uns hilft, das Niveau unserer lieben Benutzer zu ermitteln.

Wir können in unserem Unternehmen ein Sicherheitsbewusstsein schaffen, indem wir ethische Phishing-Übungen durchführen, um die Vorbereitung unserer Nutzer zu bewerten und Schwachstellen zu verbessern. Natürlich immer mit Genehmigung und legal.

Sie werden sehen, wie in weniger als 15 Minuten können wir alles fertig haben, Wir werden Gophish verwenden, das uns alles zur Verfügung stellt, um den Test durchzuführen. Nicht nur vom Versenden der E-Mails, Wenn nicht, werden wir eine sehr vollständige Konsole haben: Wir werden Statistiken sehen, wer die E-Mail erhalten hat, wer es geöffnet hat, wer auf den betrügerischen Link geklickt hat und selbst wenn er die Anmeldeinformationen eingegeben hat (wenn wir wollen,), wir konnten sie sehen.

Bevor wir also fortfahren, Wenn Sie eine Person sind, die dies nutzen wird, um Böses zu tun, Bitte, TU es nicht, Wir brauchen keine Menschen wie dich auf diesem Planeten. Wirklich, lass ihn schauen, Möglicherweise haben Sie ein psychisches Problem und wenden sich am besten an einen Fachmann.

Dieser Leitfaden dient einzig und allein dazu, dass wir intern die Tests durchführen können, die uns helfen, die Sicherheit unserer Unternehmen zu verbessern.. Ende.

Es gibt mehrere Möglichkeiten, Gophish bereitzustellen, In diesem Beitrag erfahren Sie, wie Sie es mit Docker bereitstellen, so in 2 Minuten ist es fertig. Wir laden das Container-Image mit herunter:

Sudo Docker Pull Gophish/Gophish

Und wir starten direkt den Gophish-Container:

sudo docker run --name gophish -p 3333:3333 -p 82:80 -d gophish/gophish

Im vorherigen Befehl sehen wir 2 Häfen, die 3333 Gophish wird es als Verwaltungskonsole verwenden, Von dort aus können wir Administratoren die Phishing-Kampagnen definieren. Und zusätzlich, bei 80tcp (Ich habe es auf 82tcp abgebildet) Gophish wird über diesen Port die betrügerischen Websites bereitstellen, die wir simulieren möchten, gehen, wohin der Benutzer gelangt, wenn er auf den Link klickt.

wichtig, In den Containerprotokollen sehen wir das Passwort des Benutzers ‚Administrator‘ Was wird das sein, mit dem wir anfangen, Gophish zu verwalten?, Also haben wir sie konsultiert:

sudo docker logs gophish -f
...
Zeit="2023-09-28T20:53:10mit" level=info msg="Bitte melden Sie sich mit dem Benutzernamen admin und dem Passwort af5cj3ccd1e705e8 an"
Zeit="2023-09-28T20:53:10mit" level=info msg="Erstellen neuer selbstsignierter Zertifikate für die Administrationsoberfläche"
Zeit="2023-09-28T20:53:10mit" level=info msg="Hintergrund-Worker erfolgreich gestartet - Warten auf Kampagnen"
Zeit="2023-09-28T20:53:10mit" level=info msg="Starten des IMAP-Monitor-Managers"
Zeit="2023-09-28T20:53:10mit" level=info msg="Phishing-Server unter http starten://0.0.0.0:80"
Zeit="2023-09-28T20:53:10mit" level=info msg="Starten eines neuen IMAP-Monitors für den Benutzeradministrator"
Zeit="2023-09-28T20:53:10mit" level=info msg="Die Generierung des TLS-Zertifikats ist abgeschlossen"
Zeit="2023-09-28T20:53:10mit" level=info msg="Admin-Server unter https starten://0.0.0.0:3333"

so klug, Wir müssen nur https eingeben://DOCKER_IP_ADDRESS:3333 um auf die Gophish-Verwaltung zuzugreifen,

Sobald wir uns angemeldet haben, wird uns zwingen, das Passwort zu ändern ‚Administrator‘, wir geben, was wir wollen.

Und so fangen wir an!!! Wir beginnen zunächst mit der Konfiguration eines Versandprofils, nämlich, Von welchem ​​Mailserver versenden wir die E-Mails?. So klicken Sie auf „Senden von Profilen“ > „Neues Profil“,

Damit wir die Übung verstehen, die wir im Beitrag machen werden, Wir werden ethisches Phishing gegen ein Unternehmen namens Open Services IT durchführen (Dort arbeite ich), und ich werde mich dumm stellen und davon ausgehen, dass wir KEINE Anmeldeinformationen von besagtem Unternehmen haben, um E-Mails von @openservices.eus zu senden (welches Ihre öffentliche Domain wäre). Also habe ich eine weitere E-Mail eingerichtet, zum Beispiel eine persönliche, die nichts damit zu tun hat, Wir werden @bujarra.com verwenden, Von hier aus versenden wir die E-Mails, Aber keine Sorge, die Benutzer werden es nicht erfahren.

Wir geben die E-Mail-Informationen ein und klicken auf „Test-E-Mail senden“ um es zu bestätigen,

Wir versenden eine Test-E-Mail, und wir werden dafür sorgen, dass wir den Postteil regeln.

Als nächstes erstellen wir die Seite, zu der wir die Benutzer führen; In der Übung, die wir durchführen, werde ich die E-Mail-Website des Unternehmens simulieren, Wir wissen, dass es Microsoft Exchange verwendet und über OWA verfügt, also das werden wir schaffen, lassen Sie uns „Startseiten“ > „Neue Seite“,

Ich werde umdrehen, Sie werden sehen, wie einfach… wir nennen, zum Beispiel ‚OWA-Portal‘. Aber wie duplizieren wir die OWA-Website?? leicht, dale a „Site importieren“…

Wir geben die URL der Site ein, die wir kopieren/klonen möchten, Dies ist das OWA des Unternehmens und klicken Sie auf „Einführen“,

Streichen!!! Er hat den HTML-Code kopiert und uns genau hinterlassen, die Zitronenbirne… Wir können beide Schecks markieren, um alle von ihnen geschriebenen Daten zu erfassen, sowie das Passwort, wenn wir interessiert sind.

Diese Website wird also den Benutzern angezeigt, wenn sie ihre Anmeldeinformationen eingeben… Gophish leitet sie dann auf die richtige Seite weiter. Benutzer werden nicht erfahren, was passiert ist, wenn sie das Passwort falsch eingegeben haben, wenn Ihr Browser aktualisiert wurde… Also im „Weiterleiten an“ Wir werden die gute URL eingeben, wohin werden sie als nächstes gehen?.

Als nächstes wird die E-Mail-Vorlage erstellt, das heißt, was per E-Mail an die Benutzer gesendet wird. Mit dem Firmenformat, fuente, Geschäft… lassen Sie uns „E-Mail-Vorlagen“ > „Neue Vorlage“,

Wir Form eines Namens, zum Beispiel ‚Öffnen Sie die E-Mail-Vorlage „Services IT“.‘, und um das gleiche Format wie jede unserer E-Mails zu kopieren, klicken Sie auf „E-Mail importieren“,

Wir nehmen eine E-Mail mit dem Format entgegen, in dem das Unternehmen normalerweise E-Mails versendet, Wir kopieren die Unterschrift, das Logo… Wir können jetzt einen Text schreiben… Wir speichern die E-Mail und kopieren den Code im HTML-Format.

Gesamt, das in der ‚E-Mail importieren‘ Wir fügen den HTML-Code ein, den diese Vorlagen-E-Mail für uns generiert hat, klicken Sie auf „Einführen“,

Nochmals durchstreichen! Wir haben bereits die E-Mail-Vorlage, die wir versenden werden, mit einem ähnlichen Text, damit die Benutzer begeistert sind, Ich werde ihnen Vertrauen geben und sie bitten, die E-Mail-Adresse einzugeben, was meiner Meinung nach nicht funktioniert. Aber natürlich funktioniert es!!!

Wir geben der E-Mail einen Betreff an, der SEHR wichtig ist., in ‚Umschlagabsender‘ Wir können den Namen und die E-Mail-Adresse des Absenders fälschen, Selbst wenn wir die E-Mail von @bujarra.com senden, können wir Ihnen sagen, dass der Absender von @openservices.eus stammt, und der Benutzer wird es nicht wissen, Matrosenstoff…

Gesamt, In der E-Mail haben wir die Unternehmens-URL dort angegeben, wo sie darauf klicken müssten…

… und wir erstellen einen Link, aber zu unserer Gophish-Site!!! zum Beispiel, eh, im Protokoll haben wir angegeben ‚<andere>‘ und in die URL fügen wir die Variable ein {{URL}}, also wird Gophish die böse URL einfügen 😉 Sie haben mehr Variablen in Ihrem offizielle Website falls Sie die E-Mail personalisieren möchten, und nennen wir den Benutzer namentlich, etc…

und nichts, Wir müssen lediglich angeben, an wen wir die E-Mails senden möchten., in „Benutzer & Gruppen“ Wir können unsere erste Gruppe registrieren und mehrere Benutzer hinzufügen, um sie zu testen… klicken Sie auf „Neue Gruppe“,

Wir fügen Benutzer manuell hinzu oder importieren sie aus einer CSV, Wir werden diesen Benutzern unseren ersten Test senden. Name, Nachname, E-Mail oder Position sind Variablen, mit denen Sie bei Interesse experimentieren könnten.

Und wir sind bereit, unsere erste Kampagne zu erstellen!!! „Kampagnen“ > „Neue Kampagne“,

Die Kampagne ist nichts anderes, als dass wir alle Teile des Puzzles zusammenfügen, Hier geben wir die E-Mail-Vorlage an, die wir verwenden werden, die Website-Vorlage, die wir verwenden werden, Die URL ist die URL des Gophish-Webportals, In meinem Fall ist es mit Port 82tcp, Standardmäßig wäre es 80tcp, und das Normalste wäre, keine internen IP-Adressen zu verwenden, wenn nicht ein FQDN, der extern und intern aufgelöst wird. Wir geben das Startdatum und das E-Mail-Profil an, das wir verwenden werden. Außerdem legen Sie fest, an welche Gruppe wir das Phishing senden.. wir geben „Kampagne starten“…

Ja! Wir sind supersicher, „Starten“,

und „OK“, Kampagne gestartet!!! Die Motoren wurden gestartet!! Nun warten wir auf die Ergebnisse…

Der Benutzer würde diese E-Mail erhalten, wo es heißt, dass es von einer Person im Unternehmen stammt (obwohl der Mailserver nichts damit zu tun hat), mit diesem Text, wenn Sie sich den Link ansehen, egal wie oft sie einen Text lesen, Die URL wird unterschiedlich sein…. und wenn sie klicken…

Wenn sie klicken, würde ich sie hierher bringen… Schauen Sie sich die URL an… Glauben Sie, dass die Benutzer es bemerken werden?? Ich weiß es nicht, Rick.… gesamt, Was ist, wenn sie ihre Anmeldeinformationen bereits eingeben müssen?…

Also… wenn sie die Zugangsdaten eingeben… Dadurch werden sie auf die E-Mail-Website des Unternehmens weitergeleitet, und sie werden nicht bemerkt haben, was passiert ist… Sie werden sagen… Aber wenn ich die Zugangsdaten bereits eingegeben habe,? eh¿? und von hier an ist es uns egal… Schauen Sie sich die URL an, Sie befinden sich nun auf der Unternehmensseite…

gut, und was würden wir sehen? Abgesehen von einer globalen Zusammenfassung für den Fall, dass wir mehrere Kampagnen gestartet haben, Wir werden auch eine spezielle für diese Übung haben. Wir können sehen, wie viele E-Mails gesendet wurden, wurden geöffnet, Benutzer haben auf den Link geklickt, Benutzer, die Daten übermittelt haben… oder sogar wenn jemand es bemerkt und als bösartig gemeldet hat…

In den Details können wir für jeden Benutzer navigieren… und wissen, was er getan hat…. In diesem Fall erhielt der Benutzer die E-Mail und danach 3 Als ich es sah, schien es, als hätte er sich entschieden und auf den Link geklickt… und noch schlimmer… hat seine Anmeldedaten eingegeben… oh oh… Benutzer zur Umerziehung!!!

gut, Sie haben gesehen, wie einfach, Einfach und für die ganze Familie können wir eine kostenlose und Open-Source-Lösung für ethisches Phishing implementieren, mit dem wir auch einen Bericht erstellen können, den wir im Management unterrichten, um die Ausbildung zu fördern, die Verwendung sicherer Methoden, etc…

wie immer, Ich schicke dir eine Umarmung, Ich wünsche Ihnen eine SEHR gute Woche und was ich gesagt habe, Bitte, diejenigen, die diese Tools betrügerisch nutzen werden.. Lass dich auch von ihnen erziehen!

Hector Herrero