私の仕事の一部は、フィッシング キャンペーンを作成して開始することにより、組織におけるセキュリティの人的要素をテストすることです (委託、つまり、会社によって許可されたものです!)。
フィッシング キャンペーンのシミュレーションを毎年数回実行することで、従業員が悪意のあるリンクをクリックしたり、悪意のあるファイルをダウンロードしたり、攻撃者から連絡を受けたときに重要な内部情報を提供したりする可能性を減らすことができます。 これらの活動を実行し、アウトリーチ トレーニングを通じてそれらについて話し合うと、通常、最良の結果が得られます。
この短い記事では、フィッシングとは何か、フィッシングキャンペーンを作成するのがいかに簡単かを説明します。これにより、私たち一人一人が、私たちと私たちが働いている会社が毎日直面するリスクをより認識できるようになります.
フィッシングとは?
フィッシングはソーシャル エンジニアリング活動です。 基本的には、メールを送ることで人々に行動を起こしてもらうことです。
最も一般的なタイプはクレデンシャル フィッシングで、攻撃者はプレーンテキストのユーザー名とパスワードにアクセスして、組織への最初のエントリ ポイントを取得しようとします。 他の種類のフィッシングでは、悪意のあるファイルが添付されている可能性があります。通常はペイロードに関連するもので、システムへの感染を助長する悪意のあるコンポーネントであり、他の誰か (Cobaltstrike など) によって作成されます。
フィッシングは、攻撃者が最初の内部ポジションを確立できる方法の XNUMX つにすぎません。他の方法としては、ビッシング (つまり、ターゲットへの XNUMX 回または複数回の電話を通じて実行される、音声による「フィッシング」の一種)、スミッシング (「フィッシング」などがあります)。 」、または技術的または非技術的手段によるその他の形式の操作。
認識段階
フィッシングを開始するには、組織を標的にする場合、最初のステップは、そこで働いている可能性のある人々 (電子メール アドレスと連絡先) のデータベースを作成することです。 誰でも LinkedIn から情報を収集できる無料のツールやプラットフォームが多数あります。
Rocket Reach は、他の多くのプラットフォームと同様に、登録ユーザーがデータ侵害の一部であった有効な電子メールを発見できるようにします。 ほんの少しの試行で、ターゲット企業の有効な電子メールを見つけ、その構成方法を理解することができます (例: name.surname@companyname.com)、データベースへの入力が非常に簡単になります。
データベースを取得したら、従業員の資格情報を収集することが目的の場合は、被害者が使用するログイン ポータルを探す基本的な Web 列挙を実行し、どのポータルになりすますかを決定する必要があります。
武器化フェーズ
準備フェーズの XNUMX 番目の部分は、兵器化、または兵器の作成です。
資格情報を収集することが目的の場合、まず環境を準備する必要があります。つまり、フィッシングの評価に使用するドメインを購入し、メール サービスに関連するレコードを設定する必要があります。 物事をより簡単に (よりスマートに) 行うために、私たちは通常、大量の電子メールを送信して田舎で情報を収集できるプラットフォームである GoPhish を使用して VPS (Virtual Private Server、仮想環境で実行されるシステムのインスタンス) を構成します。
図 2 - https://github.com/gophish/gophish
環境の準備が整ったら、メール テンプレートの準備に進みます。 ここで注意が必要なのは、テンプレートの内容は、ターゲットを絞ったかどうかにかかわらず、キャンペーンの種類によって異なる可能性があるということです。
ターゲットを絞ったフィッシング キャンペーンでは、通常、偵察段階にステップを追加してターゲットを OSInt し、ターゲットを知るようにします。つまり、ターゲットのコミュニケーション方法、構造、興味やコア バリューなどです。 大多数の従業員が目的のアクションを実行するように動機付けられるように調整された電子メール テンプレートを作成します。
キャンペーンが対象を絞っていない場合、通常、読者のある種の必要性、欲求、恐怖などに訴える一般的な関心 (ボーナス、宝くじなど) のトピックを伝え、順序立てて行動を起こすように誘導します。彼らが切望する何かを手に入れるため、または彼らが恐れている何かが起こるのを防ぐために。
資格情報の盗難キャンペーンを選択すると、それらを入力して GoPhish に送信できるようにする Web ページを準備します (アクションを「実行済み」としてマークします)。 私たちが構築するポータルには通常、会社を思い起こさせ、より正当に見え、信頼を構築するための特性 (偵察段階で収集されたもの) があります。
キャンペーンの立ち上げと情報収集
これらの手順がすべて完了したら、キャンペーンを開始できます。 キャンペーンは、昼休みの近くや営業日の終わりなどの「不便な」時間に開始される可能性が高くなります。 したがって、通常、これら XNUMX つの瞬間のいずれかを選択します。 攻撃者はこれらのウィンドウで最初のログインを試みます。これは、従業員が気が散ったり疲れたりする可能性が高く、目的のアクションを実行する傾向があるためです。
データの収集に関しては、GoPish は非常に便利です。 メールの本文にシンプルなトラッカーを使用することで、GoPhish はメールを開封したユーザーと、悪意のあるポータルに到達したリンクをクリックした回数を追跡できます。 最後に、資格情報を入力したユーザーも追跡します。
このデータはすべて、攻撃者に役立つ可能性があります。
- 電子メールが開封されたことを攻撃者に伝えるトラッカーは、XNUMX 番目のターゲットを絞ったキャンペーンで使用される可能性がある電子メール アドレスの有効性を確認します。
- クリック アクション (資格情報の入力が続かない場合でも) は、ユーザーに潜在的な「弱点」を示す可能性があります。
- 入力した資格情報を使用して、ターゲット インフラストラクチャへのアクセス ポイントを取得できます。
結論
攻撃者がどのように考え、行動するかを理解することは、企業の防御を改善するのに役立ちます。
チェーンの中で最も弱いリンクを強化することは、ほとんどの場合人間であり、個人と会社自体の両方に利益をもたらす可能性があります.
企業の境界だけでなく、自分自身の境界にも厳密に接続されたユーザーの継続的なトレーニングは、両方の当事者に利益をもたらし、したがってより効果的です。
