Bagian dari pekerjaan saya adalah menguji elemen keamanan manusia dalam organisasi dengan membuat dan meluncurkan kampanye phishing (atas komisi, yaitu diberi wewenang untuk melakukannya oleh perusahaan!).
Menjalankan beberapa simulasi kampanye phishing setiap tahun dapat mengurangi kemungkinan karyawan mengklik tautan berbahaya, mengunduh file berbahaya, atau memberikan informasi orang dalam yang penting saat dihubungi oleh penyerang. Melaksanakan kegiatan ini dan kemudian mendiskusikannya melalui pelatihan penjangkauan biasanya memberikan hasil terbaik.
Dalam artikel singkat ini saya akan menjelaskan apa itu phishing dan betapa mudahnya membuat kampanye phishing, sehingga kita masing-masing dapat lebih sadar akan risiko yang kita dan perusahaan tempat kita bekerja hadapi setiap hari.
Apa itu Phishing?
Phishing adalah kegiatan rekayasa sosial. Ini pada dasarnya melibatkan membuat orang mengambil tindakan dengan mengirim email.
Jenis yang paling umum adalah phishing kredensial, di mana penyerang mencoba untuk mendapatkan akses ke nama pengguna dan kata sandi plaintext untuk mendapatkan titik masuk pertama ke dalam organisasi. Jenis phishing lain mungkin membawa lampiran file berbahaya, biasanya terkait dengan payload, komponen berbahaya yang membantu menginfeksi sistem, dibuat oleh orang lain (misalnya, Cobaltstrike).
Phishing hanyalah salah satu cara di mana penyerang dapat menetapkan posisi internal pertama, cara lain dapat berupa vhishing (yaitu bentuk vokal "phishing", dilakukan melalui satu atau lebih panggilan telepon ke target), smishing ("phishing ” disampaikan melalui sms), atau bentuk manipulasi lainnya melalui sarana teknologi maupun non teknologi.
Fase Pengakuan
Untuk memulai phishing, saat menargetkan organisasi, langkah pertama adalah membuat database orang yang mungkin bekerja di sana (alamat email dan kontak). Ada banyak alat dan platform gratis yang memungkinkan siapa saja mengumpulkan informasi dari LinkedIn.
Gambar 1 https://rocketreach.co/
Rocket Reach, seperti banyak platform lainnya, memungkinkan pengguna terdaftar menemukan email valid yang merupakan bagian dari pelanggaran data. Dengan sedikit upaya, Anda dapat menemukan email yang valid untuk perusahaan target, memahami cara penulisannya (mis. nama.nama belakang@namaperusahaan.com) dan membuatnya sangat mudah untuk mengisi database.
Setelah kita memiliki database kita, jika tujuannya adalah untuk mengumpulkan kredensial karyawan, kita perlu melakukan enumerasi web dasar untuk mencari portal login yang digunakan oleh korban dan memutuskan mana yang akan kita tiru.
Fase Weaponisasi
Bagian kedua dari fase pendahuluan adalah persenjataan, atau pembuatan persenjataan.
Jika tujuan kami adalah mengumpulkan kredensial, pertama-tama kami harus menyiapkan lingkungan, yang berarti membeli domain yang akan kami gunakan untuk penilaian phishing dan menyiapkan catatan yang terkait dengan layanan email. Untuk mempermudah (dan lebih pintar), kami biasanya mengonfigurasi VPS (Virtual Private Server, turunan dari sistem yang berjalan di lingkungan virtual) dengan GoPhish, sebuah platform yang memungkinkan Anda mengirim email massal dan mengumpulkan informasi di pedesaan.
Gambar 2 - https://github.com/gophish/gophish
Setelah lingkungan siap, kami melanjutkan untuk menyiapkan template email. Inilah bagian rumitnya: konten template dapat bervariasi berdasarkan jenis kampanye, apakah itu ditargetkan atau tidak.
Dalam kampanye phishing bertarget, kami biasanya menambahkan langkah dalam fase pengintaian di mana kami mengarahkan target untuk mengenal mereka: bagaimana mereka berkomunikasi, bagaimana mereka disusun, apa minat dan nilai inti mereka, dll. untuk membuat template email khusus yang memotivasi sebagian besar karyawan untuk mengambil tindakan yang diinginkan.
Ketika kampanye tidak ditargetkan, biasanya menyampaikan topik minat umum (misalnya bonus, lotere, dll.) Yang menarik bagi semacam kebutuhan, keinginan, ketakutan, dll., pada pembaca, mendorongnya untuk melakukan tindakan agar untuk mendapatkan sesuatu yang mereka dambakan atau untuk mencegah sesuatu yang mereka takuti terjadi.
Saat kami memilih kampanye pencurian kredensial, kami kemudian menyiapkan halaman web yang memungkinkannya untuk dimasukkan dan selanjutnya dikirim ke GoPhish kami (yang akan menandai tindakan sebagai "dieksekusi"). Portal yang kami bangun biasanya memiliki karakteristik (dikumpulkan selama fase pengintaian) yang mengingatkan perusahaan, agar tampak sedikit lebih sah dan membangun kepercayaan.
Peluncuran kampanye dan pengumpulan informasi
Setelah semua langkah ini selesai, kampanye dapat diluncurkan. Kampanye lebih cenderung diluncurkan pada waktu yang 'tidak nyaman' seperti menjelang istirahat makan siang atau di penghujung hari kerja; oleh karena itu, kami biasanya memilih salah satu dari dua momen tersebut. Penyerang mencoba login awal mereka di jendela ini karena karyawan lebih cenderung terganggu atau lelah, sehingga lebih cenderung mengambil tindakan yang diinginkan.
GoPhish sangat berguna untuk mengumpulkan data; menggunakan pelacak sederhana di badan email memungkinkan GoPhish melacak pengguna mana yang membuka email dan berapa banyak yang mengklik tautan yang mendarat di portal jahat kami. Terakhir, ini juga melacak pengguna yang telah memasukkan kredensial.
Semua data ini dapat berguna bagi penyerang:
- Pelacak yang memberi tahu penyerang bahwa email telah dibuka akan mengonfirmasi validitas alamat email yang dapat digunakan dalam kampanye target kedua;
- Tindakan klik (meskipun tidak diikuti dengan memasukkan kredensial), dapat menandakan pengguna sebagai "titik lemah" potensial;
- Kredensial yang dimasukkan dapat digunakan untuk mendapatkan jalur akses ke infrastruktur target.
Kesimpulan
Memahami bagaimana penyerang berpikir dan bertindak dapat membantu meningkatkan pertahanan perusahaan.
Memperkuat mata rantai terlemah, hampir selalu manusia, dapat menguntungkan baik individu maupun perusahaan itu sendiri.
Pelatihan pengguna yang terus-menerus, tidak hanya terhubung secara ketat dengan perimeter perusahaan tetapi juga dengan perimeternya sendiri, dapat menguntungkan kedua belah pihak dan oleh karena itu menjadi lebih efektif.
