Phishingator – Jak na vlastní cvičný phishing? část II.

DSM 3/2023 Zobrazení: 353
Phishingator – Jak na vlastní cvičný phishing? část II.

Na první pohled může rozeslání cvičných podvodných zpráv vypadat jako relativně jednoduchý úkon, a to včetně přípravy podvodné přihlašovací stránky. Ve skutečnosti je potřeba vyřešit mnoho detailů, počínaje snahou vzdáleně monitorovat aktivity uživatelů (např. kteří uživatelé navštívili odkaz; kteří opravdu zadali své údaje a kteří jen vzkaz pro domnělé podvodníky) přes celkové vyhodnocení až po zabývání se pedagogickým působením na uživatele. Vzhledem k potřebě zopakování cvičení (avšak s jinými atributy a prerekvizitami) a udržení určité úrovně obezřetnosti uživatelů je nezbytná automatizace pomocí vhodného nástroje.

                                 phishing                            vzdělávání koncových uživatelů                          praktické cvičení            trestněprávní odpovědnost                                Phishingator

Cílem tohoto článku je přiblížit možnosti využití volně dostupného nástroje nejen pro otestování odolnosti koncových uživatelů, ale zejména pro jejich následnou edukaci.

OpenSource – Phishingator

Jedním z nástrojů využitelných pro rozesílání a vyhodnocování cvičných phishingových zpráv je nástroj Phishingator1 , který vznikl na Západočeské univerzitě v Plzni a v současné době je dále vyvíjen sdružením CESNET. Phishingator je OpenSource nástroj (dostupný pod MIT licencí2 ).

Oproti ostatním nástrojům obdobného typu se liší zejména svým primárním zaměřením na vzdělávání uživatelů a také využíváním praktických znalostí pracovníků Forenzní laboratoře CESNET, kteří se cvičným phishingem zabývají od roku 2018, během návrhu a vývoje.

Z hlediska technické specifikace je Phishingator webová aplikace, jejíž základní schéma je zobrazeno na Obr. 1.

Článek phisingathor1Obr. 1: Schéma nástroje Phishingator

Pro možnost použití nástroje Phishingator je potřeba tento systém napojit na:

  • zdroj identifikátorů o uživatelích (typicky LDAP, případně existuje možnost ručního zadání informací o uživatelích),
  • e-mailový server (nastavení white-listingu),
  • autentizační mechanismus, který slouží k ověřování zadaných údajů a také k autentizaci přistupujících uživatelů. část II.

Přes webové rozhraní mohou správci Phishingatoru spravovat uživatele, vytvářet cvičný phishing, sledovat získaná data a vytvářet statistiky.

Správci mohou být dvojího typu:

  • administrátor s plným přístupem k celému sytému,
  • správce testů, který má omezenou skupinu cílových uživatelů, může používat pouze součásti připravené administrátorem a vidí pouze omezené statistiky.

Uživatelé se pak mohou vrátit k absolvovaným cvičením a svým výsledkům.

Phishingator rozesílá cvičné phishingové zprávy, hostuje cvičné podvodné stránky a také zobrazuje vzdělávací stránky.

Vlastní vzdělávání uživatelů je prováděno formou praktických cvičení simulujících skutečný útok. Z pohledu uživatele odpovídá každému cvičení jeden obdržený phishingový e-mail, nicméně skutečný útočník v rámci zvyšování efektivity vždy posílá stejný e-mail více uživatelům současně. Takovýto „hromadný“ phishingový útok se označuje jako tzv. phishingová kampaň. V případě Phishingatoru tomu odpovídá definice, jaké zprávy se komu (určené skupině/skupinám uživatelů) mají zaslat, jaké URL bude zpráva obsahovat a jaká stránka bude k dispozici na zaslaném odkazu. Průběh typické cvičné phishingové kampaně je znázorněn na Obr. 2.

Článek phisingathor2Obr. 2: Průběh phishingové kampaně

Po vytvoření vlastní phishingové kampaně a nastavení data a času jejího spuštění začnou být Phishingatorem odesílány cvičné zprávy. Následně jsou zaznamenávány reakce uživatelů pro vyhodnocení cvičení a případně je uživatelům také zobrazována vzdělávací stránka, pokud je tento postup v definici kampaně nastaven.

Po ukončení phishingové kampaně je všem uživatelům zaslána informace o absolvovaném cvičení s odkazem na vzdělávací stránku, aby si ji mohli prohlédnout všichni účastníci cvičení, a to včetně těch, kteří podvod rozpoznali. Správce je vždy informován e-mailem o vytvoření a ukončení kampaně.

Při vytváření vlastní podvodné zprávy je třeba se vcítit do role útočníka a vybrat si vhodnou záminku pro oslovení uživatele a na jejím základě na něj vytvořit psychologický nátlak. Vhodně zvolená identita odesílatele má také svůj vliv na celkové vnímání zprávy adresátem. Od nástroje typu Phishingator je očekáváno, že vytváření cvičné podvodné zprávy bude intuitivní (viz Obr. 3). Ideální je tedy, obdobně jako v běžném e-mailovém klientovi, pouze vyplnit e-mailovou adresu odesílatele, vytvořit popis odesílatele, předmět a vlastní tělo zprávy.

Článek phisingathor3Obr. 3: Vytvoření cvičné podvodné zprávy

Pro rozšíření možností sociálního inženýrství jsou k dispozici i proměnné, které jsou nahrazovány skutečnou hodnotou až při odesílání e-mailu. Díky tomu lze vložit uživatelské jméno adresáta, jeho e-mailovou adresu, čas jakož i proměnnou pro URL podvodné stránky.

U vzdělávání je klíčovým prvkem upozornění na chybu bezprostředně po jejím provedení. Čím kratší doba uplyne mezi chybou a jejím vysvětlením, tím je pedagogický efekt vyšší. Má- -li tedy cvičný phishing sloužit ke vzdělávání uživatelů, musejí být ihned po provedení nevhodné akce (např. zadání platných přihlašovacích údajů) upozorněni, že se nezachovali správně, a informováni, jak mohli poznat, že se jedná o phishing. Phishingator tuto problematiku řeší pomocí definování tzv. indicií (viz Obr. 4), tedy pasáží e-mailu, ze kterých bylo možné poznat, že se jedná o podvodný e-mail.

Článek phisingathor4Obr. 4: Přidání indicií k podvodné zprávě

K jednotlivým indiciím je možné kromě názvu přidat také podrobnější popis toho, co přesně mělo uživatele varovat, aby na podvodnou stránku nepřistupoval. Všechny takto definované informace jsou zahrnuty do vzdělávací stránky (viz Obr. 5), která je uživateli zobrazena ihned po provedení nevhodné akce.

Článek phisingathor5Obr. 5: Ukázka vzdělávací stránky

Kromě e-mailové zprávy je k provedení úspěšného útoku potřeba podvodná stránka, do které by uživatel zadal své přihlašovací údaje. Každá cvičná podvodná stránka je determinována URL adresou spolu s vizuální podobou (viz Obr. 6).

Článek phisingathor6Obr. 6: Definice cvičné podvodné stránky

Pro pedagogické účely je třeba mít možnost v URL podvodné stránky definovat všechny součásti, tj. protokol (HTTP nebo HTTPS), doménové jméno, cestu i parametry, aby bylo možné simulovat a procvičovat všechny běžně používané způsoby konstrukce podvodného URL.

Dále do URL musí být vložen unikátní identifikátor, aby bylo možné trasovat a odlišit aktivity jednotlivých uživatelů při jejich vyhodnocování. Phishingator umožňuje ovlivnění pozice tohoto identifikátoru pomocí proměnné %id%.

Vizuální styl cvičné podvodné stránky také určuje úroveň obtížnosti cvičení, protože např. kopie Single sign-on (SSO) cílové organizace přesvědčí k zadání přihlašovacích údajů více uživatelů než obecný přihlašovací formulář. Vytvořená přihlašovací stránka je obvykle útočníkem používána opakovaně pod různými URL, takže jde vlastně o šablonu. Phishingator simuluje i tuto vlastnost a správci mohou používat připravené šablony podvodných stránek.

Samotné vytvoření kampaně (viz Obr. 7) sestává z vybrání vhodné kombinace dříve nadefinovaných komponent (e-mailové zprávy, přihlašovací stránky) a určení adresátů. 

Článek phisingathor7Obr. 5: Ukázka vzdělávací stránky Obr. 7: Definice cvičné phishingové kampaně

Kromě ručního zadávání e-mailových adres, případně importování seznamu např. z formátu CSV, bývá zvykem u podobných nástrojů umožnit i komfortnější způsoby zadávání vstupních dat. Phishingator využívá napojení na LDAP, ze kterého získává seznam uživatelů a jejich zařazení do skupin. Mezi cílové uživatele tak lze snadno přidat celou skupinu nebo jen předem vybrané uživatele. Dále je v rámci přípravy phishingové kampaně potřeba určit datum a čas jejího zahájení a ukončení, přičemž ukončením se myslí zastavení činnosti podvodné stránky a ukončení sběru informací nezbytných k vyhodnocení dané kampaně.

Phishingator umožňuje také nastavit chování podvodné přihlašovací stránky. První varianta odpovídá útočníkovi, který po zadání přihlašovacích údajů nechá zobrazit výzvu k opakovanému přihlášení (neplatné jméno nebo heslo), ať jsou zadané údaje jakékoli. Velká část uživatelů si totiž nepamatuje, které heslo k danému účtu patří, a bude postupně zkoušet jedno své heslo po druhém, takže útočník má šanci posbírat i další hesla k jiným systémům. Další možností je přístup běžného útočníka, který se zbytečnou funkcionalitou neobtěžuje a formulář na zadané údaje nijak nereaguje. Nicméně cílem je uživatele vzdělávat, jinými slovy ukázat mu vzdělávací stránku s indiciemi, podle kterých bylo možné phishing rozpoznat. V dalších variantách je možné určit, zda se tak stane:

  • po zadání libovolných údajů,
  • jen při opakovaném zadání libovolných údajů,
  • pouze v případě zadání platných přihlašovacích údajů.

Kromě vlastního aktu konfrontace uživatele scvičným phishingem je také užitečné analyzovat průběh testování a zhodnotit celkové výsledky phishingové kampaně. Pro každou phishingovou kampaň jsou průběžně sbírány informace o činnosti uživatelů, přičemž za klíčové je považováno:

  • komu byla zpráva poslána,
  • zda daný adresát navštívil odkazovanou stránku,
  • zda na odkazované stránce vyplnil formulář,
  • zda vyplněné údaje byly platnými přihlašovacími údaji.

Přes webové rozhraní je správcům aplikace dostupný přehled všech zaznamenaných akcí, jejich souhrnné vyhodnocení pro jednotlivé skupiny (např. jednotlivá oddělení organizace), jakož i pro celou phishingovou kampaň (viz Obr. 8), přičemž jednotlivé grafy a tabulky jsou průběžně aktualizovány. Samozřejmostí je možnost exportu dat do tabulek a grafů.

Článek phisingathor8Obr. 8: Statistiky cvičné phishingové kampaně

Globální výsledek celé phishingové kampaně nejlépe vystihuje graf nadepsaný „Konečné akce uživatelů v kampani“, protože prezentuje, jak daleko se uživatelé při setkání s cvičným phishingem dostali a jaké akce učinili – tj. zda nereagovali vůbec; zda podvodnou stránku pouze navštívili; zda do podvodné stránky zadali neplatné údaje (typicky neslušný vzkaz domnělým útočníkům) nebo zda zadali platné přihlašovací údaje.

Jak už bylo uvedeno, Phishingator je OpenSource a jeho zdrojové kódy jsou veřejně k dispozici. Stejně jako většina soudobých OpenSourcových projektů tak činí prostřednictvím GIT repozitáře3 , což je verzované úložiště, ve kterém se kromě zdrojového kódu nacházejí také návody k nasazení i používání Phishingatoru. Samozřejmě je také možné procházet historií všech verzí. Pro usnadnění instalace je vše připraveno tak, aby bylo možné nástroj Phishingator spouštět jako Docker kontejner. Také veškeré konfigurace a napojení na další systémy jsou prováděny pomocí konfiguračního souboru, takže zprovoznění by mělo být pro správce relativně snadné. Sdružení CESNET nicméně myslí i na organizace, které nemají lidskou kapacitu na instalaci a průběžnou správu dalšího systému, a nabízí Phishingator také ve formě SaaS (Software-as-a-Service)4 .

Při nasazování vlastní phishingové kampaně je také nezbytné si uvědomit, že rozesílané cvičné zprávy mají z principu charakter spamu či přímo phishingu, odkazy vedou na dosud nepoužívané domény a cvičné podvodné stránky mají charakteristické znaky způsobující jejich blokování technickými prostředky.

Cílem cvičně edukativních phishingových kampaní však nemá být testování schopnosti technických ochran, ale primárně má umožnit uživatelům zlepšit svou mentální odolnost proti phishingu. Při nasazení systému pro rozesílání cvičného phishingu v organizaci je tedy třeba myslet i na úpravu jednotlivých prvků zabezpečení, jako je antispamový filtr, antiphishingový filtr, firewall nebo zabezpečení koncových stanic.

Závěrem

Phishing je jednou z bezpečnostních hrozeb, se kterými se uživatelé běžně setkávají. Ochrana technického rázu spočívající v aplikaci technických opatření nemůže být z principu nikdy stoprocentně účinná, a je tedy třeba smířit se s faktem, že phishing se k adresátovi (uživateli) může dostat. Jedinou skutečnou ochranu v takovém případě představují schopnosti uživatele podvod rozpoznat. Z uvedených důvodů je vhodné uživatele vzdělávat, a to nejen teoreticky, ale také praktickým cvičením, které jej v předstihu připraví na reálný pokus útočníka.

Pro realizaci uvedených cvičení je však vhodné mít vhodný nástroj, který organizaci ušetří čas, lidské zdroje a prostředky nezbytné k jejich přípravě. Jednou z možností je využití OpenSource nástroje Phishingator. Díky propojení praktických zkušeností z „manuální“ přípravy cvičných phishingových kampaní je možné původní projekt Západočeské univerzity v Plzni dále rozvíjet sdružením CESNET a nabízet ho jako OpenSource nástroj dostupný pod MIT licencí. Průběžně jsou do Phishingatoru přidávány další funkce a vylepšení na základě potřeb organizací, které nástroj používají nebo o jeho používání uvažují.

Článek phisingathor9Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Článek phisingathor10Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Článek phisingathor11Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Poznámky pod čarou:

  1. Blíže viz Phishingator [online]. [cit. 2023-04-19]. Dostupné z: https://phishingator.cesnet.cz
  2. Blíže viz The MIT License [online]. [cit. 2023-04-19]. Dostupné z: https://opensource.org/license/mit/
  3. Blíže viz CESNET/Phishingator [online]. [cit. 2023-04-19]. Dostupné z: https://github.com/CESNET/Phishingator
  4. Blíže viz Phishingator [online]. [cit. 2023-04-19]. Dostupné z: https://www.cesnet.cz/sluzby/phishingator/

Použité zdroje:

[ 1 ] CESNET/Phishingator [online]. [cit. 2023-04-19]. Dostupné z: https://github.com/CESNET/Phishingator
[ 2 ] Coordinated Vulnerability Disclosure policies in the EU [online]. In: European Union Agency for Cybersecurity, April 2022 [cit. 2023-04-19]. ISBN 978-92-9204-575-3. Dostupné z: doi:10.2824/983447
[ 3 ] KOLOUCH, Jan, 2016. CyberCrime. Praha: CZ.NIC. CZ.NIC. ISBN 978-80-88168-15-7. s. 186
[ 4 ] Phishing Activity Trends Reports [online]. [cit. 2023-05-12]. Dostupné z: https://apwg.org/trendsreports/
[ 5 ] SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2)
[ 6 ] Phishing stojí za třetinou průniků: Jak poznat škodlivé e-maily? [online]. [cit. 2023-05-12]. Dostupné z: https://www.eset.com/cz/blog/prevence/phishing-stoji-za-tretinou-pruniku-jak-poznat-skodlive-e-maily/
[ 7 ] Phishingator [online]. [cit. 2023-04-19]. Dostupné z: https://phishingator.cesnet.cz
[ 8 ] Phishingator [online]. [cit. 2023-04-19]. Dostupné z: https://www.cesnet.cz/sluzby/phishingator/
[ 9 ] SCHNEIER, Bruce, 2012. Liars and Outliers: Enabling the Trust that Society Needs to Thrive. Indiana. USA: John Wiley. ISBN 978-1-118-14330-8.
[ 10 ] The MIT License [online]. [cit. 2023-04-19]. Dostupné z: https://opensource.org/license/mit/
[ 11 ] The number of phishing attacks doubled to reach over 500 million in 2022 [online]. [cit. 2023-05-12]. Dostupné z: https://www.kaspersky.com/about/press-releases/2023_the-number-of-phishing-attacks-doubled-to-reach-over-500-million-in-2022

Vytisknout