Новости

Как испытать своих сотрудников на устойчивость к фишингу

Как испытать своих сотрудников на устойчивость к фишингу

Новый пакет с открытым кодом делает создание фишингового сайта и рассылку приманок-«наживок» до смешного простым делом. Это ПО призвано помочь компаниям проверить бдительность своих сотрудников, но, как и большинство подобных инструментальных средств, может быть использовано злоумышленниками для организации реальных атак. 

Пакет Simple Phishing Toolkit включает в себя инструмент, позволяющий клонировать любую Web-страницу - такую, как страницу входа в корпоративную сеть или страницу входа в почту - достаточно одного щелчка мышью, а также тут есть конструктор для создания писем-«наживок». Этот учебный пакет поставляется в связке с инструментальными средствами, позволяющими администратору отслеживать различные показатели, - как реагируют получатели наживок, щелкнул ли получатель на ссылке, когда и какой пользователь прошел по ссылке и какая операционная система и с каким браузером при этом использовалась. 

Списки получателей для рассылки «наживок» могут быть загружены из электронной таблицы. Создатели этого ПО, - два системных администратора (которые просили упоминать их только по именам, чтобы не создать им проблемы на основном месте работы), сказали, что хотели помочь компаниям обучать своих сотрудников правильно реагировать на попытки фишинга. «Все эта концепция родилась из обсуждения идеи: а ведь было бы здорово иметь возможность подвергать своих сотрудников безопасным, тестовым фишинговым атакам», сказал Уилл, один из разработчиков пакета. «Похоже на то, что в каждой организации есть некоторое количество сотрудников, уязвимых для фишинга, тех, которые наступают на эти грабли снова и снова, через каждые шесть или восемь недель, и такие уязвимые места хорошо бы было выявить». 

Впервые выпущенный в октябре 2011 года, пакет Simple Phishing Toolkit вышел уже в четвертой версии. Последняя версия включает в себя «модуль обучения пользователя», который можно настроить - и тогда пользователь будет предупреждаться об опасности вредоносных загрузок при щелчке на ссылке или при попытке ввести свои верительные данные на фальшивой форме ввода - или же не будет предупреждаться вообще. Отчасти, возможно, в качестве ответа на обвинения, что этот пакет потенциально могут использовать злоумышленники, в нем отсутствуют средства для перехвата данных, которые получатели вводят на фишинговой форме, хотя, впрочем, создатели пакета сказали, что в будущей версии эта функциональность будет предлагаться в виде подключаемой надстройки. 

Хотя более сложные фишинговые пакеты с открытым кодом (например, Social Engineer Toolkit для среды разработки Backtrack/Metasploit) уже существуют некоторое время, Уилл и его напарник по разработке Дерек сказали, что хотели реализовать более простое в использовании решение. «Мы хотели создать автономный пакет, который не стоит денег и не требует каких-то усилий на свое изучение», сказал Дерек. Действительно, пакет соответствует своему названию: установить и использовать его оказалось чрезвычайно просто. При помощи WampServer - бесплатного ПО, реализующего одновременно Apache, PHP и MySQL - я смог установить пакет и подготовить фишинговую кампанию рассылок с фальшивой страницей Gmail менее, чем за пять минут. Казалось бы, не так еще давно идея проведения организацией фишинга против собственных сотрудников считалась спорной. Теперь есть уже целый ряд организаций, которые предлагают услуги по организации подобных тренингов. Если же вы предпочитаете устроить проверку для сотрудников на бдительность своими собственными силами, пакет SPT вам вполне подойдет.

3.2

голосов: 10
2012.01.20 02:19 // Схимник теги: исследованияпользовательразработки

Новый контент

Hostname lookup своими руками! читать

Хэш нам не преграда, потому что нам его не надо! читать

Startup Delayer 3.0.319: управление автозагрузкой приложений читать

Чертовски хороший LAMP: Пошаговое руководство по установке стека (L)AMP на FreeBSD читать

Tweak-7 1.0.1125: твикер для Windows 7 или как оптимизировать работу Windows 7 читать

Linux и 3G модем. Определение, настройка для подключения к сети. читать

Cистема шифрования TrueCrypt читать

Многопользовательский чат на BAT читать

Исследование: администраторы баз данных мало заботятся о безопасности читать

Оффлайновый способ хранить пароль читать

Спам — как средство передачи шифровок? читать

Мониторинг жёстких дисков при помощи SMART читать

Повышение производительности netfilter, использование ipset читать

Дело об отказавшей системе читать

Атаки на домен: завладеваем корпоративной сетью читать

Теги

adobe android anonymous apache apple assembler brutforce bsd c++ cgi chrome ddos delphi djvu dns facebook fingerprinting firefox freebsd ftp google html http ibm icq inattack intel internet internet explorer ip it java javascript linux livejournal mail microsoft mysql network pdf perl php python scanner security shell skype sms softice twitter unix visual c++ web wi-fi wikileaks windows xml xss администрирование алгоритм анонимность арест архив атака базы данных безопасность браузер брутфорс взлом вирус вирусы вконтакте домен защита игры интернет исследования кибертерроризм крис касперски мыщъх обратная разработка операционная система пароль первая полоса перехват данных подбор поиск поисковик поисковые системы пользователь программирование программы процессор разработка разработки реверсинг россия Руссинович руткит самоучитель сети социальная сеть спам спецслужбы справочник статистика суд сша телефон теория технологии троян учебник уязвимости уязвимость форум хакер хакеры яндекс
© INATTACK 2003 — 2012

Взлом

— искусство,

Хакер

— его творец.