КАК ПРОВОДИТЬ УСПЕШНЫЕ УЧЕБНЫЕ ФИШИНГОВЫЕ АТАКИ.

#тестирование

1. Определите "флаги" - фактическое действие или факт предоставления доступа к определённой информации. Разделите их по уровня критичности для вашего бизнеса

Например:

- переход по ссылке

- загрузка и запуск файла

- ввод пары логини/пароль в фишинговой форме.

- факт предоставления внутренней информации стороннему лицу в переписке или телефонном разговоре.

2. Определите модель угроз и вероятность фактического наступления недопустимого события через тот вид учебной фишинговой атаки, которую вы проводите. Чтобы не допустить надуманности и бессмысленности проводимых мероприятий.

3. Определите «цели» — человека или группы людей, которые будут являться объектами тестирования. Сгруппируйте их по возможности доступа к внутренней информации и возможной критичности их действий относительно проводимой фишинговой атаки.

Пример

Цель: Бухгалтер (финансовый отдел)

Флаг: Ввод пары логин/пароль в фишинговую форму CRM-системы.

Угроза: Предоставление доступа к финансовой информации компании.

4. Создайте сценарий-легенду проведения каждого вектора атаки для каждой целевой группы.

Пример

Флаг: загрузка и запуск файла

Цель: Юрист (юридический департамент)

Легенда: файл содержащий договор с контрагентом (и гипотетически вредоносную нагрузку) преданный с курьером (присланный по почте) , требующего срочного открытия или рецензия.

5. Подберите инструментарий для проведения учебной атаки, фиксации "флагов" и фиксации хода событий для дальнейшего разбора.

Из бесплатных и с открытым кодом:

- SocialFish (http://github.com/UndeadSec/SocialFish)

- Gophish (http://getgophish.com/)

- King Phisher (https://github.com/rsmusllp/king-phisher) 

(подробнее о каждом инструменте можно прочитать тут (https://t.me/forensictools/597).)