УДК 004.056
Баева У.М.
студент кафедры «Информационная безопасность» Московский государственный технический университет им. Н.Э. Баумана
(г. Москва, Россия)
Кураков В.И.
студент кафедры «Информационная безопасность» Московский государственный технический университет им. Н.Э. Баумана
(г. Москва, Россия)
Худадян А.С.
студент кафедры «Информационная безопасность» Московский государственный технический университет им. Н.Э. Баумана
(г. Москва, Россия)
ОБЗОР СРЕДСТВ ДЛЯ СИМУЛЯЦИИ ФИШИНГОВЫХ АТАК
Аннотация: в статье рассматриваются различные программные средства, используемые для симуляции фишинговых атак, их достоинства и недостатки.
Ключевые слова: социальная инженерия, фишинговая атака, фишинговая рассылка, симуляция фишинговой атаки.
Для обеспечения информационной безопасности любая компания применяет комплекс организационно-правовых мер и использует автоматизированные системы защиты, однако в обход установленного сложного антивирусного ПО и систем идентификации и аутентификации, злоумышленники проникают в системы и получают доступ к конфиденциальным данным при помощи сотрудников компании, применяя
методы социальной инженерии. Как правило, защите от данного вида атак организации уделяют мало внимания.
Социальная инженерия определяется как действие по манипулированию людьми в совершении действий или разглашении конфиденциальной информации [1].
Самым популярным видом атак в социальной инженерии являются фишинговые атаки. Фишинг - это вид мошенничества, совершаемый с целью получения конфиденциальной информации пользователей (в частности, для получения логинов и паролей на различных ресурсах). Классическая фишинговая атака представляет собой рассылку электронных писем от имени доверенных отправителей. В письмах обычно содержится ссылка на сайт, где предлагается ввести логин и пароль для «авторизации», или вредоносный файл, при открытии которого вносятся изменения на компьютер пользователя [2].
Проблема устойчивости сотрудников любой организации к фишинговым атакам актуальна и требует качественной проработки. Одним из самых эффективных способов исследовать и повысить устойчивость персонала к атакам методами социальной инженерии являются симуляции фишинговых атак. По статистике, в большинстве компаний во время первых учений около 30% сотрудников попадаются на фишинг, однако благодаря периодическим учебным атакам эта цифра снижается до 2% и ниже [3].
На рынке представлен ряд программных средств, позволяющих провести симуляцию фишинговой атаки, а также проанализировать полученные результаты. В рамках данной проведен обзор рынка популярных средств, используемых для имитации атак методами социальной инженерии.
Портал Microsoft Defender
Имитацию фишинговых атак можно проводить с помощью портала Microsoft 365 Defender (доступен для организаций, использующих Microsoft 365 E5 or Microsoft Defender for Office 365 Plan 2).
Портал позволяет:
• выбрать метод социальной инженерии (фишинговые ссылки, вложение вредоносных файлов)
• настроить конфигурацию фишингового письма
• настроить имя и электронный адрес отправителя
• выбрать e-mail адреса целевой аудитории (из Active Directory, Azure AD, из CSV файла)
• указать срок запуска рассылки
На странице сведений об атаке для каждой проведенной атаки доступна следующая информация:
• количество пользователей, которые перешли по ссылке и ввели свои учетные данные
• гистограмма, которая показывает количество нажатых ссылок и предоставленных учетных данных за день
• в разделе «Взломанные пользователи» перечислены сведения о пользователях, которые щелкнули ссылку, а именно: электронный адрес пользователя, дата и время, когда они щелкнули ссылку, IP-адрес клиента, подробная информация о версии Windows и веб-браузера пользователя.
Результаты могут быть экспортированы в CSV-файл [4].
Sophos Phish Threat
Sophos Phish Threat - готовое SaaS-решение для симуляции фишинговых
атак.
Система позволяет:
• выбрать IP-адреса, с которых будет происходить фишинговая рассылка
• указать e-mail адреса сотрудников несколькими способами (импорт из CSV файла, добавление вручную, синхронизация с Active Directory, синхронизация с Azure AD)
• выбрать тип рассылки (переход по фишинговым ссылкам, сбор учетных данных, фишинг с вложениями)
• выбрать и кастомизировать шаблон фишингового письма
• указать временной интервал, в который будет проводиться фишинговая рассылка
Отчет по результатам рассылки содержит информацию о типах устройств, подвергшихся атаке, количестве разосланных сообщений, открытых сообщений, процент подвергшихся атаке пользователей. Также отчет помогает отследить, кто из пользователей быстрее всех открыл фишинговое письмо [5].
СушиЫе
Cymulate - это SaaS-платформа для симуляции взлома и атак, которая позволяет легко узнать состояние безопасности организации в любое время и дает компаниям возможность защитить свои критически важные для бизнеса активы.
Платформа позволяет реализовывать атаки по различным векторам, в том числе, фишинговые атаки. Система предоставляет возможность использовать как полностью готовые предустановленные шаблоны писем, так и создавать свои, приводящие невнимательных пользователей на веб-страницу с фиктивными опасными ссылками.
По итогам симуляции генерируется подробный отчет, содержащий результаты теста и детальную информацию о том, кто из сотрудников открыл письмо, перешел по ссылке и т.п [6].
Более подробного описания возможностей, предоставляемых платформой для симуляции фишинговой рассылки, на сайте компании СутиЫе не приведено.
Phishing Readiness
Phishing Readiness - SaaS-платформа от компании CybeReady обеспечивающая комплексную защиту от фишинговых атак.
Phishing Readiness учитывает структуру организации и в автоматическом режиме анализирует специфику поведения каждого отдельного сотрудника, поэтому атаки получаются очень реалистичными. Главной особенностью решения от Cybeready является автоматизация всего процесса. Разработчики обещают, что благодаря этому моделирование новой рассылки занимает буквально несколько минут.
По результатам проведенной рассылки формируется аналитический отчет, позволяющий принимать обоснованные решения на базе комплексного анализа и отслеживать эффективность с течением времени.
Указано, что платформа успешно используется в таких известных компаниях, как Skoda, TEVA, Adamed [7].
Gophish
GoPhish — это фишинговая программная платформа с открытым исходным кодом. Платформа размещается непосредственно на домашнем сервере, благодаря чему можно быть уверенным в отсутствии утечек бизнес-данных [8].
Система позволяет [9]:
• указать e-mail адреса сотрудников двумя способами: вручную или с помощью импорта из CSV файла
• указать SMTP-сервер и адрес, с которого будет осуществляться рассылка
• создать текст фишингового письма (отсутствуют шаблоны писем и возможность прикреплять исполняемые файлы в качестве вложений).
Таким образом, удобные для пользователей платформы симуляции фишинговых атак имеют, как правило, очень высокую цену, а также являются SaaS-решениями, из-за чего появляется риск утечки данных, которые предоставит пользователь, «попавшийся» на атаку.
Решение Gophish не обладает вышеперечисленными недостатками (бесплатное ПО, размещается на домашнем сервере), однако при использовании данной программной платформы отсутствует возможность использовать и кастомизировать шаблоны писем, а также возможность прикреплять исполняемые файлы в качестве вложений, что может снизить эффективность проводимой фишинговой атаки.
Для того чтобы система, используемая для симуляции фишинговых атак в организации, была удовлетворительна по всем критериям, в компании можно разработать собственную автоматизированную систему.
СПИСОК ЛИТЕРАТУРЫ:
Казыханов А.А., Байрушин Ф.Т. К вопросу о социальной инженерии // Символ науки. - 2016. - С. 30.
Снегуров А. В., Макаренко Л. О. Оценка степени угрозы и пути защиты от фишинг-атак
информационного пространстваукраины // ВЕЖПТ. - 2009. №2. С. 18-19.
Как взломать своих сотрудников с помощью фишинга и зачем вам это делать [электронный
ресурс]: https://rb.ru/opinion/hacking-for-good/ (дата обращения: 10.09.2021).
Get started using Attack simulation training in Defender for Office 365 [электронный ресурс]:
https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/attack-simulation-
training-get-started?view=o365-worldwide (дата обращения: 21.09.2021).
Сайт компании Sophos [электронный ресурс]: https://www.sophos.com/en-us/products/phish-threat (дата обращения: 21.09.2021).
Сайт компании WindowsSoft [электронный ресурс]: https://www.windows-soft.ru/catalog/product/kupit-cymulate-phishing-awareness-po-dostupnoy-tsene#tab-detail-description (дата обращения: 21.09.2021).
Сайт аналитического агенства TAdviser [электронный ресурс] https://clck.ru/ZHeU9 (дата обращения: 21.09.2021).
Gofish - фреймворк для фишинга [электронный ресурс]: https://xakep.ru/2016/12/07/gophish-phishing-framework-howto/
Gofish Documentation [электронный ресурс]: https://getgophish.com/documentation
Baeva U.M.
Student, Department of Information Security Bauman Moscow State Technical University (Moscow, Russia)
Kurakov V.I.
Student, Department of Information Security Bauman Moscow State Technical University (Moscow, Russia)
Khudadyan A.S.
Student, Department of Information Security Bauman Moscow State Technical University (Moscow, Russia)
OVERVIEW OF TOOLS FOR SIMULATION OF PHISHING ATTACKS
Abstract: the article discusses various software tools used to simulate phishing attacks, their advantages and results.
Keywords: social engineering, phishing attack, phishing mailing, phishing attack imitation.