Teil meiner Arbeit ist es, die menschliche Komponente der Sicherheit in Organisationen zu testen, indem ich Phishing-Kampagnen kreiere und starte (im Auftrag, d.h. vom Unternehmen dazu autorisiert!).
Die Durchführung einiger Simulationen von Phishing-Kampagnen pro Jahr könnte die Wahrscheinlichkeit verringern, dass Mitarbeiter auf bösartige Links klicken, bösartige Dateien herunterladen oder wichtige Insider-Informationen preisgeben, wenn sie von einem Angreifer kontaktiert werden. Die Durchführung dieser Aktivitäten und ihre anschließende Diskussion im Rahmen von aufsuchenden Schulungen erzielen in der Regel die besten Ergebnisse.
In diesem kurzen Artikel werde ich erklären, was Phishing ist und wie einfach es ist, eine Phishing-Kampagne zu erstellen, damit sich jeder von uns der Risiken bewusster wird, denen wir und die Unternehmen, für die wir arbeiten, jeden Tag ausgesetzt sind.
Was ist Phishing?
Phishing ist eine Social-Engineering-Aktivität. Es geht im Grunde darum, die Leute dazu zu bringen, eine Aktion zu unternehmen, indem sie eine E-Mail senden.
Die häufigste Art ist das Credential-Phishing, bei dem der Angreifer versucht, sich Zugang zu Benutzernamen und Passwörtern im Klartext zu verschaffen, um einen ersten Einstiegspunkt in das Unternehmen zu erhalten. Andere Arten von Phishing können schädliche Dateianhänge enthalten, die sich normalerweise auf eine Nutzlast beziehen, eine schädliche Komponente, die hilft, ein System zu infizieren, die von jemand anderem erstellt wurde (z. B. Cobaltstrike).
Phishing ist nur eine der Möglichkeiten, wie ein Angreifer eine erste interne Position aufbauen könnte, andere Möglichkeiten sind Vhishing (d. h. eine Form des sprachlichen „Phishing“, die durch einen oder mehrere Telefonanrufe an das Ziel ausgeführt wird), Smishing („Phishing “ per SMS übermittelt) oder andere Formen der Manipulation durch technologische oder nicht-technologische Mittel.
Die Anerkennungsphase
Um mit Phishing zu beginnen, besteht der erste Schritt beim Angriff auf eine Organisation darin, eine Datenbank mit Personen zu erstellen, die möglicherweise dort arbeiten (E-Mail-Adressen und Kontakte). Es gibt viele kostenlose Tools und Plattformen, die es jedem ermöglichen, Informationen von LinkedIn zu sammeln.
Abbildung 1- https://rocketreach.co/
Rocket Reach ermöglicht es registrierten Benutzern, wie viele andere Plattformen, gültige E-Mails zu entdecken, die Teil von Datenschutzverletzungen waren. Mit sehr wenigen Versuchen können Sie eine gültige E-Mail-Adresse für das Zielunternehmen finden und verstehen, wie sie zusammengesetzt ist (z. name.nachname@firmenname.com) und macht es sehr einfach, die Datenbank zu füllen.
Sobald wir unsere Datenbank haben und das Ziel darin besteht, Mitarbeiteranmeldeinformationen zu sammeln, müssen wir eine einfache Webaufzählung durchführen, um nach den Anmeldeportalen zu suchen, die vom Opfer verwendet werden, und entscheiden, für welches wir uns ausgeben.
Die Waffenphase
Der zweite Teil der Vorphase ist die Bewaffnung oder Rüstungserstellung.
Wenn unser Ziel darin besteht, Anmeldeinformationen zu sammeln, müssen wir zunächst die Umgebung vorbereiten, was bedeutet, dass wir die Domäne kaufen, die wir für die Phishing-Bewertung verwenden, und die Aufzeichnungen im Zusammenhang mit dem E-Mail-Dienst einrichten. Um die Dinge einfacher (und intelligenter) zu machen, konfigurieren wir normalerweise den VPS (Virtual Private Server, eine Instanz eines Systems, das in einer virtuellen Umgebung läuft) mit GoPhish, einer Plattform, mit der Sie Massen-E-Mails senden und Informationen über die Landschaft sammeln können.
Figur 2 - https://github.com/gophish/gophish
Sobald die Umgebung fertig ist, bereiten wir die E-Mail-Vorlage vor. Hier ist der knifflige Teil: Der Inhalt der Vorlage kann je nach Art der Kampagne variieren, unabhängig davon, ob sie ausgerichtet ist oder nicht.
Bei einer gezielten Phishing-Kampagne fügen wir normalerweise einen Schritt in der Aufklärungsphase hinzu, in dem wir das Ziel OSInt, um sie kennenzulernen: wie sie kommunizieren, wie sie strukturiert sind, was ihre Interessen und Grundwerte sind usw. um eine maßgeschneiderte E-Mail-Vorlage zu erstellen, die die Mehrheit der Mitarbeiter motiviert, die gewünschte Aktion auszuführen.
Wenn die Kampagne nicht zielgerichtet ist, vermittelt sie in der Regel Themen von allgemeinem Interesse (z. B. Boni, Lotterien usw.), die beim Leser irgendeine Art von Bedürfnis, Wunsch, Angst usw. ansprechen und ihn dazu veranlassen, eine bestimmte Handlung vorzunehmen um etwas zu bekommen, nach dem sie sich sehnen, oder um etwas zu verhindern, vor dem sie Angst haben.
Wenn wir uns für eine Kampagne zum Diebstahl von Anmeldeinformationen entscheiden, bereiten wir dann die Webseite vor, auf der sie eingegeben und anschließend an unseren GoPhish gesendet werden können (der die Aktion als „ausgeführt“ markiert). Das von uns erstellte Portal hat normalerweise Merkmale (die während der Erkundungsphase gesammelt wurden), die an das Unternehmen erinnern, um etwas legitimer zu wirken und Vertrauen aufzubauen.
Kampagnenstart und Informationsbeschaffung
Sind alle diese Schritte abgeschlossen, kann die Kampagne gestartet werden. Es ist wahrscheinlicher, dass Kampagnen zu „ungünstigen“ Zeiten wie kurz vor der Mittagspause oder am Ende des Arbeitstages gestartet werden; Daher wählen wir normalerweise einen dieser beiden Momente. Angreifer versuchen ihre erste Anmeldung in diesen Fenstern, weil Mitarbeiter eher abgelenkt oder müde sind und daher eher geneigt sind, die gewünschte Aktion auszuführen.
GoPhish ist sehr nützlich, wenn es um das Sammeln von Daten geht; Durch die Verwendung eines einfachen Trackers im Textkörper der E-Mail kann GoPhish nachverfolgen, welche Benutzer die E-Mail geöffnet haben und wie viele auf den Link geklickt haben, der auf unserem bösartigen Portal gelandet ist. Schließlich verfolgt es auch Benutzer, die Anmeldeinformationen eingegeben haben.
All diese Daten könnten für einen Angreifer nützlich sein:
- Der Tracker, der dem Angreifer mitteilt, dass die E-Mail geöffnet wurde, bestätigt die Gültigkeit der E-Mail-Adresse, die in einer zweiten gezielten Kampagne verwendet werden könnte;
- Die Klickaktion (auch wenn ihr keine Anmeldeinformationen folgen) könnte den Benutzer als potenziellen „Schwachpunkt“ signalisieren;
- Die eingegebenen Anmeldeinformationen könnten verwendet werden, um einen Zugangspunkt zur Zielinfrastruktur zu erhalten.
Schlussfolgerungen
Zu verstehen, wie ein Angreifer denkt und handelt, kann dazu beitragen, die Verteidigung eines Unternehmens zu verbessern.
Die Stärkung des schwächsten Glieds in der Kette, fast immer des Menschen, könnte sowohl dem Einzelnen als auch dem Unternehmen selbst zugute kommen.
Die kontinuierliche Schulung der Benutzer, die nicht nur eng mit dem Unternehmensperimeter, sondern auch mit dem eigenen verbunden ist, könnte beiden Seiten zugute kommen und daher effektiver sein.
