Содержание
Фишинг-2021. Топ-10 самых популярных схем киберпреступлений / Хабр
Вакцинация, туризм, инвестиции в криптовалюту, крупные спортивные соревнования, киноновинки и подписки на популярные сервисы — в топе тем, которые активнее всего эксплуатируются в фишинговых атаках по версии Positive Technologies. Какие схемы кибермошенничества стали самыми популярными в 2021 году, читайте в горячей подборке от наших аналитиков.
Полезные рекомендации и векторы будущих кибератак — в конце статьи.
Коронавирусная тема все еще в тренде
Если в 2020 году злоумышленники больше распространяли рассылки с новой информацией о коронавирусе, методах лечения и планах по возвращению с удаленки, то в 2021 году солировала тема вакцинации и получения QR-кодов.
Особенно эффективным сценарием фишинговой атаки оказались опросы о прохождении вакцинации среди сотрудников, отправленные якобы от имени HR-службы. По данным проектов по оценке осведомленности пользователей, выполненных Positive Technologies, в 2021 году в среднем 65% сотрудников переходили по ссылкам из таких писем, и 48% вводили свои корпоративные учетные данные в поддельную форму аутентификации.
Пример фейкового письма по сбору данных о вакцинированных сотрудниках
Поддельные опросы о вакцинации злоумышленники также рассылали от имени фармацевтических компаний и клиник.
Получение липовых QR-кодов и сертификатов о вакцинации — еще один популярный у киберпреступников способ обмана россиян, появившийся после введения определенных преимуществ для привитых граждан. Например, осенью 2021 года, во время обострения ситуации с COVID-19, в сети обнаружили десятки поддельных сайтов Госуслуг, где посетителям предлагали ввести свои персональные данные для «генерации кода».
Пример поддельного сайта для генерации QR-кода
Поздравляем, вы получили премию!
Фишинговые рассылки часто выглядят как обычные письма от партнеров или других сотрудников компании (например, сообщения от отдела кадров либо службы технической поддержки) и уведомления от сервисов и рабочих инструментов (скажем, напоминания от Microsoft). По результатам работ по оценке осведомленности пользователей, проведенных Positive Technologies, пользователи в 2021 году чаще всего попадались на уловки, связанные с изменениями в выплатах премий и заработной платы (как показывают результаты наших проектов по анализу защищенности, в среднем, 28% сотрудников открывали фейковые корпоративные письма такого содержания), обновлениями социального пакета или программ ДМС (54% открытий) и сменой условий банковского обслуживания (59% случаев запуска вложений из писем).
Как правило, приложенные к письмам файлы содержат вредоносное ПО, запуск которого может привести к недопустимым последствиям для организации.
Новинки кинопроката и самые ожидаемые сериалы
В период громких премьер мошенники успешнее крадут данные учеток и банковских карт пользователей стриминговых сервисов, таких как Netflix. Для этого они создают сайты-близнецы популярных онлайн-кинотеатров. Иногда такие фишинговые сайты просят зрителей оформить новую подписку или продлить текущую — в случае «оплаты» данные карты останутся у злоумышленников. Такой прием использовался, например, при выходе спецвыпуска культового сериала «Друзья».
После релиза южнокорейского сериала «Игра в кальмара» (Squid Game), завоевавшего бешенную популярность с первой серии и ставшего интернет-феноменом прошлого года, злоумышленники создавали поддельные интернет-магазины с товарами по его мотивам, распространяли вредоносное ПО под видом игровых приложений для смартфонов и даже печатали карточки из игры, на которых содержались QR-коды со ссылками на ресурсы мошенников.
Аферы на спорте
Мошенники не обходят стороной и крупные спортивные мероприятия. В 2021 году злоумышленники эксплуатировали в фишинговых атаках темы Олимпийских игр в Токио и Чемпионата Европы по футболу. Помимо фейковых рассылок, для последнего создавались поддельные сайты по продаже билетов.
Что интересно, массовые рассылки о Кубке мира по футболу 2022 появились уже в 2021-м, за год до чемпионата. Адресатов в основном приглашали принять участие в торгах на поставку товаров или услуг для соревнования.
Обещания благ и компенсаций жертвам мошенников
В 2021 году было заблокировано множество поддельных ресурсов, имитирующих сайты известных банков. Используя репутацию популярных брендов, злоумышленники заманивают пользователей обещанием различных выплат, к примеру, компенсаций пострадавшим от мошенничества, предлагают бонусы при прохождении опросов или выдачу кредитов на выгодных условиях и просят ввести учетные данные для входа в личный кабинет.
Кроме того, преступники часто рассылают по электронной почте письма о проблемах с мобильным банком. Мошенники виртуозно манипулируют страхом людей потерять накопленные сбережения и пугают, что если вопрос не решить срочно, с деньгами можно попрощаться. Из-за паники пользователи часто не замечают подозрительные несоответствия в письме, например некорректный адрес отправителя.
Почтовая тема
Еще один популярный фишинговый сценарий — фальшивые письма от сервисов доставки. Получателя просят внести небольшую сумму: это может быть оплата таможенной пошлины или же доставки. Если пользователь клюнет на уловку, он рискует не только потерять деньги, но и скомпрометировать персональные данные.
Другой распространенный способ обмана — убедить пользователей проверить статус доставки их посылки, кликнув по ссылке из фишингового письма. Как правило, они ведут на мошеннические ресурсы.
Пример фишингового письма от имени известной почтовой службы
Билет в никуда
Интерес мошенников к теме отпусков и путешествий существует уже довольно давно. Они создают поддельные письма и сайты, предлагающие забронировать туры, номера в гостиницах, авиа- и железнодорожные билеты. На вредоносные ресурсы граждан обычно заманивают выгодными акциями и скидками. Например, в этом году министерство торговли Турции предупреждало российских туристов о фейковых акциях на отели. Злоумышленников опять же интересует финансовая выгода и персональные данные жертв.
Фейковые свидания
Из-за массового перехода в онлайн люди стали все больше использовать приложения для знакомств. Для мошенников это почти «золотая жила»: используя поддельные профили, они назначают жертвам фейковые свидания, просят оплатить онлайн совместный поход в кино или скидывают ссылку на свой профиль в другой соцсети. Разумеется, деньги за билеты и учетные данные от соцсети уйдут к злоумышленникам.
Подписки на сервисы
В современном мире люди ежедневно пользуются множеством сервисов, оформляя на них подписки: приложения для прослушивая музыки и просмотра фильмов, стриминговые и облачные площадки. Очередная мошенническая схема состоит в том, что пользователям рассылают письма, касающиеся оформления или продления подписок на различные платформы. В дальнейшем атака может развиваться по-разному.
Недавно мы описывали один интересный сценарий: жертве присылали письмо по электронной почте, где говорилось об окончании пробного периода, после которого якобы начнут снимать деньги за подписку. Для отмены подписки нужно было позвонить по определенному номеру телефона. В этой кампании, помимо фишинговой рассылки, использовался необычный прием — фальшивые кол-центры. После звонка по номеру пользователь, следуя указаниям оператора, скачивал себе на устройство вредоносный файл.
Нефть, газ и биткоин
Тема инвестиций становится все более популярной среди обычных людей, большинство из которых не знакомы с правилами информационной безопасности. Поэтому мошенники не упускают возможности использовать этот тренд.
Они создают фальшивые сайты, имитирующие ресурсы известных компаний, после чего предлагают пользователям зарабатывать, например на криптовалюте, нефти и газе. Для получения денежных средств преступники даже могут создавать целые инвестиционные платформы, на которые необходимо внести определенную сумму, чтобы начать вести торги.
Также известны случаи, когда мошенники под видом известного банка предлагали получить независимые начисления от инвесторов. Для этого необходимо было, опять же, заполнить небольшое заявление, после чего сообщить данные банковской карты для проверки счета.
Социальная инженерия в цифрах
Социальная инженерия стала излюбленным приемом кибермошенников. Доля таких атак на частных лиц в III квартале 2021 года достигла 83% против 67% в том же квартале годом ранее. По нашим оценкам, фишинг остается одним из главных методов атак, используемых злоумышленниками, и второй по значимости причиной утечки данных ― по данным IBM, последствия успешной фишинговой атаки обходятся предприятиям в среднем в 4,65 миллиона долларов.
Что принесет версия 2022
Большинство перечисленных тем останутся актуальными в 2022 году. Злоумышленники стараются адаптировать фишинговые кампании к громким событиям и инфоповодам, из года в год обновляя лишь детали мошеннических схем.
Объемы атак с использованием методов социальной инженерии однозначно будут расти, а последствия, возможно, нанесут больший ущерб. В этом году мы вновь ожидаем увидеть большое количество фишинговых атак, объединенных темой значимых событий, в том числе массовые рассылки на тему Чемпионата мира по футболу или Зимних Олимпийских игр.
Усилятся атаки на пользователей стриминговых сервисов в связи с выходом новых фильмов и сериалов. Например, на 2022 год запланирована премьера сериала по мотивам произведений Дж. Р. Р. Толкина, которую ждут фанаты со всего мира.
А накануне выпуска прототипа цифрового рубля ожидается бум мошеннических сайтов по продаже цифровой валюты. На фоне растущей популярности инвестиций среди физических лиц продолжит укрепляться тренд на мошенничества с использованием социальной инженерии в этой сфере. Потенциальные жертвы — частные инвесторы, которым злоумышленники будут настойчиво предлагать свои услуги под видом инвесторов, авторов обучающих курсов и поддельных платформ для инвестирования (хотя такое происходит и сейчас).
Фишинг на заказ. Недорого
Мы прогнозируем дальнейшее развитие и распространение модели Phishing-as-a-Service. Если коротко, она основана на сотрудничестве злоумышленников, покупке и продаже готовых решений, таких как мошеннические сайты или вредоносные скрипты.
Как не попасться на удочку мошенников
Чтобы не стать жертвой фишеров, специалисты Positive Technologies рекомендуют придерживаться простых правил информационной безопасности:
всегда проверять адрес отправителя;
не переходить по подозрительным ссылкам;
не вводить учетные и платежные данные, не убедившись в легитимности ресурсов;
бронировать отели и билеты только на проверенных сайтах (то же самое касается оформления подписок на сервисы).
Избежать заражения вредоносным ПО также поможет проверка полученных файлов в специализированных программах. В корпоративной среде советуем использовать песочницы.
10 популярных «фишинговых» тем в 2021 году по версии Positive Technologies
По нашим оценкам, фишинг по-прежнему остается одним из главных методов атак, используемых злоумышленниками. Количество атак на частных лиц с использованием методов социальной инженерии заметно увеличилось: если в III квартале 2020 года доля таких атак составляла 67%, то за тот же квартал 2021 года она выросла до 83%. Злоумышленники не стоят на месте и постоянно совершенствуют методы обмана жертв. Объемы атак растут, а последствия наносят все больший ущерб. Фишинг считается второй по значимости причиной утечки данных ― по данным IBM, последствия успешной фишинговой атаки обходятся предприятиям в среднем в 4,65 миллиона долларов.
В нашей статье мы поделимся самыми распространенными и интересными, на наш взгляд, темами атак, используемыми в 2021 году.
Продолжение пандемии COVID-19
Пока вирус активен и представляет угрозу для жизни и здоровья людей, тема пандемии будет оставаться актуальной и пользоваться популярностью среди злоумышленников. Если в 2020 году были больше распространены рассылки, связанные с получением новой информации о коронавирусе, методах лечения и планах по возвращению в офисы, то в 2021 году, как мы и предполагали, главной темой стала вакцинация и различные варианты фишинговых сценариев на ее основе: к примеру, продажа поддельных QR-кодов и сертификатов о вакцинации, поддельные опросы о прохождении вакцинации от фармацевтических компаний и клиник, сбор информации о вакцинированных сотрудниках.
Сбор данных о вакцинации
Ситуация с пандемией оказывает большое влияние на различные организации, потому темы, связанные с вирусом, часто возникали в корпоративных рассылках. Злоумышленники часто маскируют свои письма под рабочую переписку, и такие методы обычно оказываются успешны, что подтверждается результатами наших работ по оценке осведомленности.
Особенно эффективным сценарием фишинговой атаки оказались опросы о прохождении вакцинации среди сотрудников, отправленные якобы от HR-службы. По результатам 2021 года, в среднем 65% сотрудников переходили по ссылке из такого письма, и 48% вводили свои корпоративные учетные данные в поддельную форму аутентификации.
Рисунок 1. Пример письма, использовавшегося в проекте по оценке осведомленности.
Поддельные сертификаты о вакцинации
После введения определенных преимуществ для привитых граждан злоумышленники начали продавать поддельные сертификаты о вакцинации, появились сервисы, на которых люди вводят свои персональные данные, необходимые для «генерации сертификата». Так, например, во время обострения ситуации с COVID-19 осенью было зафиксировано появление десятков поддельных сайтов Госуслуг, на которых посетителям предлагалось оформить фальшивые QR-коды о вакцинации.
Рисунок 2. Пример поддельного сайта для генерации QR-кода
Корпоративные рассылки
Фишинговые рассылки часто выглядят как обычные письма от партнеров или других сотрудников компании, уведомления от сервисов и рабочих инструментов, используемых в организации. Например, можно наблюдать письма и напоминания от продуктов Microsoft, письма от отдела кадров, службы технической поддержки.
Результаты наших работ по анализу защищенности показали особую успешность следующих сценариев:
- изменения в выплатах премий и заработной платы: в среднем, 28% сотрудников запускали файлы, содержащие такую информацию.
- обновление социального пакета, например изменения в программе ДМС: в среднем, 54% сотрудников открывали приложенный к такому письму файл.
- вложения из писем об изменении тарифов и цен за банковское обслуживание были запущены в среднем в 59% случаев.
В случае реальной атаки эти файлы содержали бы вредоносное ПО, запуск которого в итоге мог бы привести к недопустимым последствиям для организации.
Премьеры сериалов и фильмов
Выход новых сериалов и фильмов сериала – удачный повод для проведения злоумышленниками фишинговых атак на пользователей стриминговых сервисов, таких как Netflix. При авторизации на поддельных сайтах, имитирующих популярные сервисы, настоящие учетные данные пользователей будут скомпрометированы. Также фишинговые сайты могут запрашивать оформление новой подписки либо продление текущей – в случае «оплаты» данные банковской карты останутся у мошенников. Такие приемы использовались, например, при выходе спецвыпуска культового сериала «Друзья».
Есть и другие интересные случаи, связанные с выходом популярных сериалов. Например, при выходе известного южнокорейского сериала Squid Game злоумышленники создавали поддельные интернет-магазины с товарами по мотивам сериала, распространяли вредоносное ПО под видом игровых приложений для смартфонов и даже печатали карточки из игры, на которых содержались QR-коды со ссылками на ресурсы мошенников.
Спортивные мероприятия
Злоумышленники продолжают использовать крупные события для проведения фишинговых атак. Так, тема чемпионата мира по футболу стала появляться еще за год до проведения самого чемпионата (это событие назначено на 2022 год). Примечательно, что фишинговые письма в основном содержали приглашения к участию в торгах по контрактам, на поставку товаров или услуг для чемпионата.
Также в 2021 году злоумышленники эксплуатировали темы Олимпийских игр в Токио, Чемпионата Европы по футболу. Для последнего, например, помимо фишинговых рассылок злоумышленники создавали поддельные сайты по продаже билетов.
Клиенты банков под прицелом
В 2021 году было заблокировано множество поддельных ресурсов, имитирующих сайты известных банков. Используя репутацию популярных брендов, злоумышленники заманивают пользователей обещанием каких-либо выплат, к примеру, компенсаций пострадавшим от мошенничества, предлагают бонусы при прохождении опросов или выдачу кредитов на выгодных условиях, и просят ввести учётные данные для входа в личный кабинет.
Также злоумышленники могут рассылать по электронной почте письма о проблемах с мобильным банком. Как правило, в таких письмах ставится акцент на срочности решения проблемы, а в совокупности со страхом за сохранность средств это рождает панику, из-за чего получатель может не заметить подозрительные несоответствия в письме: например, некорректный адрес отправителя.
Почтовые службы
Еще одна из популярных тем – фишинговые письма от сервисов доставки. Как правило, получателю сообщается о необходимости внесения небольших сумм: это может быть оплата таможенной пошлины или же доставки. Опасность попадания в такую ловушку кроется не только в потере средств с карты, но и в краже персональных данных.
Другой популярный сценарий заключается в том, что сообщения побуждали пользователей проверить статус доставки их посылки, перейдя по ссылке, содержащейся в письме. Как правило, такие ссылки ведут на мошеннические ресурсы.
Рисунок 3. Пример фишингового письма от имени известной почтовой службы
Отпуска и поездки: письма и сайты, предлагающие забронировать места для отдыха и билеты
Интерес мошенников к теме отпусков и путешествий существует уже довольно давно. Злоумышленники создают поддельные ресурсы, на которых якобы можно забронировать номера в гостиницах, авиабилеты и туры. Ссылки на вредоносные сайты могут рассылаться по электронной почте, при этом получателей могут заманивать выгодными акциями и скидками. Например, в этом году министерство торговли Турции предупреждало российских туристов о фейковых акциях на отели.
Подобные схемы применяются и относительно покупки железнодорожных и авиабилетов, причем жертвы могут не только потерять деньги, но и раскрыть мошенникам персональные данные.
Опасные знакомства
Из-за массового перехода в режим онлайн люди стали все больше использовать приложения для знакомств. Но этими приложениями пользуются и мошенники, которые регистрируют поддельные профили. После они могут писать другим пользователям сети с целью получения денежных средств, либо личной информации. Например, злоумышленник может попросить жертву оплатить совместный поход в кино или скинуть ссылку на свой профиль в другой соцсети. Разумеется, это лишь уловки: деньги за билеты в кино и учетные данные от соцсети уйдут к мошенникам.
Подписки на сервисы
В современном мире люди ежедневно пользуются множеством сервисов, оформляя на них подписки: приложения для прослушивая музыки и просмотра фильмов, стриминговые и облачные сервисы.
Мошенники пользуются этим, присылая жертвам письма на тему оформления или продления подписок на различные платформы. Об одном таком сценарии мы писали в нашей недавней аналитике: жертве присылалось письмо по электронной почте, где сообщалось об окончании пробного периода, после которого якобы начнутся сниматься деньги за подписку. Для отмены подписки нужно было позвонить по определенному номеру телефона. В этой кампании помимо фишинговой рассылки используется необычный прием — фальшивые кол-центры. После звонка по номеру пользователь согласно указаниям оператора скачивал вредоносный файл.
Инвестиции в криптовалюту, нефть и газ
Тема инвестиций становится все более популярной среди обычных людей, большинство из которых не знакомы с правилами информационной безопасности, так что мошенники не упускают возможности использовать этот тренд.
Злоумышленники создают фальшивые сайты, имитирующие ресурсы известных компаний, после чего предлагают пользователям зарабатывать, например, на криптовалюте, нефти и газе. Для получения денежных средств преступники даже могут создавать целые инвестиционные платформы, на которые необходимо внести определенную сумму, чтобы иметь возможность вести торги. Также были случаи, когда мошенники под видом известного банка предлагали получить независимые начисления от инвесторов. Для этого необходимо было, опять же, заполнить небольшое заявление, после чего сообщить данные банковской карты для проверки счета.
Прогнозы
Стоит отметить, что большинство из перечисленных тем остаются актуальны из года в год, злоумышленники лишь обновляют детали.
В 2022 году мы вновь ожидаем увидеть большое количество фишинговых атак, объединенных темой значимых событий, в том числе массовые рассылки на тему чемпионата мира по футболу или Зимних Олимпийских игр.
В продолжение существующих на данный момент трендов, велика вероятность атак на пользователей в связи с выходом новых фильмов и сериалов, например, в 2022 году планируется запуск сериала по мотивам произведений Дж. Р. Р. Толкина. Произведения этого автора имеют широкую аудиторию, что делает выход сериала одним из значимых событий проката следующего года.
Также, в связи с выпуском прототипа цифрового рубля злоумышленники могут создавать поддельные сайты, предлагая купить цифровую валюту. И, продолжая финансовую тему, нельзя не отметить дальнейшее развитие тренда на мошенничества с использованием социальной инженерии в теме инвестиций. Жертвами в этом случае становятся частные инвесторы, которым настойчиво предлагают сейчас и будут предлагать в ближайшем будущем свои услуги мошенники под личиной инвесторов, авторов обучающих курсов, поддельных платформ для инвестирования.
В целом, мы ожидаем все большее развитие и распространение модели Phishing-as-a-Service. Эта модель основана на сотрудничестве злоумышленников, покупке и продаже готовых решений, таких как мошеннические сайты или вредоносные скрипты.
Чтобы избежать серьезных последствий фишинга, достаточно понимать, на что следует обращать внимание и придерживаться простых правил информационной безопасности: необходимо всегда проверять адрес отправителя, не переходить по подозрительным ссылкам, не вводить учетные и платежные данные, не убедившись в легитимности ресурса. Оформлять бронирование отелей и билетов следует только на проверенных ресурсах. То же касается и подписок на используемые сервисы. Для предотвращения заражения вредоносным ПО нужно проверять все полученные файлы, в корпоративной среде для этого рекомендуется использовать песочницы.
фишинговых сайтов · Темы GitHub · GitHub
Здесь
101 публичный репозиторий
соответствует этой теме…
КасРоудра
/
PyPhisher
Звезда
1,2к
Митчеллкрогза
/
Фишинг.База данных
Звезда
746
т4д
/
StalkPhish
Звезда
412
iinc0gnit0
/
черный фиш
Звезда
402
M4CS
/
BlackEye-Python
Спонсор
Звезда
373
бхикандешмукх
/
акула
Звезда
288
0xДаниэльЛопес
/
Твитфид
Звезда
284
т4д
/
PhishingKitHunter
Звезда
199
нетеверт
/
днсморф
Звезда
192
Err0r-ICA
/
Фишбейт
Звезда
184
rsmusllp
/
король-фишер-шаблоны
Звезда
145
Кибер-Диоксид
/
Киберфиш
Звезда
141
сураджр
/
URL-классификация
Звезда
120
мкб2091
/
блокконвертировать
Звезда
101
принцкрверт
/
Равана
Звезда
101
abhackerofficial
/
пентестинг-фреймворк
Звезда
96
0xДаниэльЛопес
/
phishing_kits
Звезда
89
WhBeatZ
/
WhPhisher
Звезда
84
Акшай-Арджун
/
69фишер
Звезда
61
ржавчина
/
ОПЕНОРХИД
Звезда
58
Улучшить эту страницу
Добавьте описание, изображение и ссылки на
фишинг-сайты
страницу темы, чтобы разработчикам было легче узнать о ней.
Курировать эту тему
Добавьте эту тему в свой репозиторий
Чтобы связать ваш репозиторий с
фишинг-сайты
тему, перейдите на целевую страницу репозитория и выберите «управление темами».
Учить больше
Девять лучших симуляторов фишинга [обновлено в 2021 г.]
Название этой статьи должно было быть «9 лучших бесплатных симуляторов фишинга». Однако после долгих поисков, попыток, посещения неработающих ссылок, заполнения форм и подписки на списки рассылки стало ясно, что сочетание «бесплатно» и «верхний» действительно сужает выбор до очень немногих реальных вариантов для обучения фишингу. . В окончательный список не вошли подозрительные (извините за каламбур) приложения, которые позволяют создавать поддельные веб-сайты или фишинговые сайты для сбора данных. Мы также не включаем ни одну из бесплатных управляемых кампаний, предлагаемых многими популярными в настоящее время фишинговыми службами. Мы хотели сосредоточиться на инструментах, которые позволяют вам на самом деле запустить фишинговую кампанию самостоятельно, то есть создать и отправить хотя бы одно фишинговое письмо реальному получателю.
Примечание. Хотите больше, чем просто симулятор фишинга? Ознакомьтесь с нашей статьей о лучших тренингах по безопасности.
По сути, если вы ищете бесплатный симулятор фишинга для своей компании, у вас есть три варианта:
- Простые инструменты, которые позволят вам создать простое сообщение электронной почты и отправить его одному или нескольким получателям, используя указанный почтовый сервер. Такие функции, как отчетность или управление кампанией, часто недоступны, что делает их больше похожими на инструменты тестирования на проникновение, чем на симуляторы фишинга.
- Фишинговые платформы с открытым исходным кодом. Это растущая и интересная категория, которая составляет большую часть нашего списка. С открытым исходным кодом вы получаете все обычные преимущества, такие как многофункциональные бесплатные версии и поддержка сообщества. Но все обычные недостатки также присутствуют: такие инструменты обычно требуют значительных технических навыков для установки, настройки и запуска. Кроме того, большинство из них основаны на Linux. Так что, если слова типа «отсутствующие зависимости» не звучат на иностранном языке, то эта категория может вас заинтересовать. В противном случае есть третий вариант.
- Демонстрационные версии коммерческих продуктов. Большинство коммерческих симуляторов фишинга предлагаются как программное обеспечение как услуга (SaaS). С ними вы обычно получаете лучшее из всего: простота использования, богатые функции (включая отчетность), техническую поддержку и т. д. Поскольку фишинг входит в число главных угроз кибербезопасности, а коммерческие симуляторы фишинга появляются как грибы после дождя, находя бесплатная демоверсия кажется легкой задачей. То есть до тех пор, пока вы на самом деле не попробуете. В большинстве случаев лучшее, что вы можете получить после прыжков через различные обручи (заполнение формы запроса, подписка на список рассылки, подтверждение вашего адреса электронной почты и т. д.), — это бесплатная кампания, управляемая поставщика или демо-счет с таким количеством ограничений, что он даже не дает вам хорошего понимания возможностей полной версии, не говоря уже о предоставлении вам реального инструмента, который вы можете эффективно использовать для создания и управления несколькими фишинговыми кампаниями. Наиболее вероятным сценарием для фишинговых платформ SaaS является запланированная демонстрация, которая может привести или не привести к получению вами доступа к версии продукта, которую вы действительно можете использовать. Однако из этого правила есть исключение, которое вы увидите в начале нашего списка.
Девять лучших симуляторов фишинга
1.
Infosec IQ
Infosec IQ от Infosec включает в себя бесплатный тест на риск фишинга, который позволяет автоматически запускать смоделированную фишинговую кампанию и получать данные об уровне фишинга вашей организации в течение 24 часов.
Вы также можете получить доступ к полномасштабному инструменту моделирования фишинга Infosec IQ, PhishSim, для проведения сложных симуляций для всей вашей организации. PhishSim содержит библиотеку из более чем 1000 фишинговых шаблонов, вложений и целевых страниц ввода данных. Шаблоны PhishSim добавляются еженедельно, что позволяет информировать сотрудников о наиболее актуальных фишинговых мошенничествах. Хотите создавать свои собственные фишинговые письма? PhishSim имеет конструктор шаблонов с возможностью перетаскивания, поэтому вы можете создавать свои фишинговые кампании в точном соответствии с вашими требованиями.
Регистрация бесплатной учетной записи Infosec IQ дает вам полный доступ к библиотеке шаблонов PhishSim и инструментам обучения, но вам нужно будет поговорить с представителем Infosec IQ, чтобы получить возможность запустить бесплатную кампанию PhishSim.
Infosec предлагает БЕСПЛАТНУЮ персонализированную демонстрацию платформы Infosec IQ для имитации фишинга и обеспечения безопасности. Нажмите здесь что бы начать.
2. Gophish
Будучи фишинговой платформой с открытым исходным кодом, Gophish делает все правильно. Он поддерживается большинством операционных систем, установка так же проста, как загрузка и распаковка ZIP-папки, интерфейс прост и интуитивно понятен, а функции, хотя и ограничены, продуманно реализованы. Пользователи легко добавляются вручную или путем массового импорта CSV. Шаблоны электронной почты легко создавать (хотя они не включены, так как создан репозиторий, поддерживаемый сообществом) и изменять (использование переменных позволяет легко персонализировать), создание кампаний — простой процесс, а отчеты приятны для просмотра и могут экспортироваться в формат CSV с различным уровнем детализации. Основные недостатки: нет компонентов для повышения осведомленности и нет вариантов планирования кампании.
3.
LUCY
Первый коммерческий продукт в нашем списке, LUCY обеспечивает беспроблемную загрузку бесплатной (общественной) версии платформы. Все, что вам нужно, это ваш адрес электронной почты и имя, и вы можете загрузить LUCY как виртуальное устройство или сценарий установки Debian. Веб-интерфейс привлекателен (хотя и немного сбивает с толку), и есть много возможностей для изучения: LUCY разработана как платформа социальной инженерии, которая выходит за рамки фишинга. Элемент осведомленности также присутствует с интерактивными модулями и викторинами. Итак, почему мы не поместили ЛЮСИ выше в списке? Потому что мы говорим о бесплатных симуляторах фишинга, а общедоступная версия LUCY имеет слишком много ограничений для эффективного использования в корпоративной среде. Некоторые важные функции недоступны по лицензии сообщества, такие как экспорт статистики кампании, выполнение атак на файлы (вложения) и, что наиболее важно, параметры планирования кампании. При этом бесплатная версия LUCY дает вам представление о том, на что способна платная версия, но не идет дальше этого.
4. Simple Phishing Toolkit (sptoolkit)
Хотя этому решению может не хватать привлекательности графического интерфейса по сравнению с некоторыми предыдущими записями, есть одна важная особенность, которая ставит его на первое место в нашем списке. . Simple Phishing Toolkit предоставляет возможность сочетать фишинговые тесты с обучением безопасности с функцией, которая (опционально) направляет пользователей, подвергшихся фишингу, на целевую страницу с обучающим видео. Более того, есть функция отслеживания пользователей, прошедших обучение. К сожалению, проект sptoolkit был заброшен еще в 2013 году. Новая команда пытается дать ему новую жизнь, но на данный момент документация скудна и разбросана по всему Интернету, что делает реалистичную реализацию в корпоративной среде сложной задачей. .
5. Безумие фишинга
Хотя это приложение Ruby on Rails с открытым исходным кодом разработано как инструмент тестирования на проникновение, оно имеет множество функций, которые могут сделать его эффективным решением для внутренних фишинговых кампаний. Возможно, наиболее важной функцией является возможность просматривать подробную статистику кампании и легко сохранять информацию в файл PDF или XML. Вы, вероятно, можете догадаться, что будет дальше: Phishing Frenzy — это приложение на базе Linux, с установкой которого не справится новичок.
6. King Phisher
Благодаря этому решению с открытым исходным кодом от SecureState мы входим в категорию более сложных продуктов. Функции King Phisher многочисленны, включая возможность запуска нескольких кампаний одновременно, геолокацию фишинговых пользователей, возможности веб-клонирования и т. д. Отдельный репозиторий шаблонов содержит шаблоны как для сообщений, так и для серверных страниц. Пользовательский интерфейс чистый и простой. Что не так просто, так это установка и настройка. Сервер King Fisher поддерживается только в Linux, при этом требуются дополнительные шаги по установке и настройке в зависимости от версии и существующей конфигурации.
7. SpeedPhish Framework (SPF)
Еще один инструмент Python, созданный Адамом Комптоном. SPF включает в себя множество функций, позволяющих быстро настраивать и проводить эффективные фишинговые атаки, в том числе векторные атаки с вводом данных (включены 3 шаблона веб-сайта, а также возможность использования пользовательских шаблонов). В то время как технически подкованный специалист по безопасности может получить массу удовольствия от SPF и сможет проводить фишинговые кампании против нескольких целей, это по-прежнему в основном инструмент для пентестинга, многие замечательные функции (например, сбор адресов электронной почты) не имеют большого значения. для тех, кто проводит внутренние тесты на фишинг.
8. Social-Engineer Toolkit (SET)
Еще один инструмент от TrustedSec, который, как следует из названия, был разработан для выполнения различных атак социальной инженерии. Что касается фишинга, SET позволяет отправлять фишинговые электронные письма, а также проводить массовые почтовые кампании, а также использовать некоторые дополнительные параметры, такие как пометка сообщения с высокой степенью важности и добавление списка целевых электронных писем из файла. SET основан на Python, без графического интерфейса. Как инструмент тестирования на проникновение, он очень эффективен. Как решение для имитации фишинга, оно очень ограничено и не включает никаких функций отчетности или управления кампаниями.
9.
SpearPhisher BETA
Этот инструмент не пытается никого обмануть (кроме целей фишинга). Разработанный TrustedSec, SpearPhisher правильно говорит в описании: «Простой инструмент для создания фишинговой электронной почты». С акцентом на «простота». Созданная для нетехнических пользователей, SpearPhisher представляет собой программу для Windows с простым графическим интерфейсом. Он позволяет быстро создать фишинговое электронное письмо с настраиваемыми полями «От электронной почты», «От имени» и «Тема» и включает HTML-редактор WYSIWYG и возможность включения одного вложения. Вы можете отправить созданное электронное письмо нескольким получателям, добавив адреса электронной почты в поля «Кому», «Копия» и «СК».