Jakiś czas temu we wpisie Phishing – symulacja ataku exchange przedstawiłem wam rozwiązanie MS do symulacji ataków phishingowych. W moim przypadku licencja pozwalała na podstawowe użycie tego narzędzia więc zacząłem szukać czegoś co umożliwi mi lepsze dostosowywanie zarówno stron logowania oraz wyglądu emaili. Znalazłem kilka rozwiązań ale najbardziej przypadło mi rozwiązanie GoPhish. Głównie dla tego, że jest to narzędzie open source a jak wiadomo: za darmo to uczciwa cena 🙂
W tym wpisie pokażę wam możliwości tego narzędzia a jeśli będziecie chcieli to za jakiś czas zrobię część 2 gdzie przeprowadzę was przez proces instalacji i konfiguracji od samego początku.
Dokumentacja oraz informacje o projekcie znajdują się pod adresem: https://getgophish.com/
Interfejs gophish jest bardzo prosty, intuicyjny i przejrzysty. Każda kampania ma widoczne statystyki, które na moim przykładzie wyglądają tak:
Ta kampania jeszcze jest jak widać nie ukończona ale już można wyeksportować wyniki do csv. Bez eksportu również można je przeglądać na stronie.
Zauważyłem, że po zaraportowaniu przez użytkownika maila w Outlooku statystyki w gophish się nie aktualizują. Dodatkowo „email opened” jest prawie równoznaczne z „email sent”. Jak narazie są to 2 wady, które zauważyłem. Być może robię coś źle, więc jeśli macie jakieś pomysły podzielcie się w komentarzach.
Przejdziemy teraz krok po kroku jak tworzy się kampanie phishingowe. Najpierw dodajemy adresy naszych ofiar. Można dodawać je ręcznie ale jest możliwość importu z pliku csv. Adresy można grupować, więc dla każdej kampanii możemy mieć różne grupy adresów docelowych. Imię, nazwisko, adres email oraz stanowisko możemy potem wykorzystać w treści maila aby być bardziej wiarygodnym.
Dodawanie wygląda tak:
A tak wygląda lista grup:
Następnie przejdziemy do przygotowania zawartości emaila. Zawartość tę można zaimportować z gotowego maila w formacie RAW oraz zaprojektować przy pomocy HTML (jeśli mamy gotowy szablon, należy go wkleić w edytor HTML). Tak wygląda przykładowy mail, którego kod html został skopiowany.
Użytkownik klikając w link zostaje przekierowany do domeny, którą podamy podczas tworzenia kampanii. Każdy użytkownik ma swój unikalny ID, dzięki któremu jest identyfikowany.
Następnym elementem kampanii będzie landing page, czyli strona do której zostanie przekierowany użytkownik po kliknięciu w link. Tutaj można zaimportować stronę z podanego adresu www, jednak w przypadku bardziej złożonych formularzy logowania ta metoda nie zadziała. Zdecydowanie lepiej jest stworzyć kod html lub wykorzystać, któryś z dostępnych w internecie templatów. W opcjach możemy zdefiniować czy gophish ma zapisywać dane jakie użytkownik wprowadza w formularzu logowania oraz stronę do której ma być przekierowany po zatwierdzeniu logowania.
Ostatni element, którego potrzebujemy to konto pocztowe do wysyłki maili. Tutaj, zanim skonfigurujemy konto po stronie gophish należy na maszynie odpowiednio skonfigurować sendmaila (ja akurat wykorzystałem Linuxa). Wykorzystałem pocztę gmaila, i tutaj uwaga aby konto z gmail.com zadziałało prawidłowo, należy ustalić hasło aplikacji w ustawieniach konta i wpisać je jako dane logowania. Moje ustawienia wyglądają tak:
Gdy testowy mail wysłał się bez problemu, możemy przejść do tworzenia kampanii. W opcjach podajemy wszystkie elementy, które stworzyliśmy wcześniej. Jako URL podajemy adres pod jakim jest hostowany gophish. Przydatną funkcją jest wysyłka maili w podanym oknie czasowym. Wysyłka maili partiami może w jakiś sposób zminimalizować ryzyko dostania się na czarne listy 🙂
Pamiętajcie, że takie narzędzia testujemy tylko na własnych systemach 🙂