Gophish Framework. Создание фишинговой рассылки

При тестировании на проникновение часто приходится пользоваться социальной инженерией, потому что человек — одно из самых ненадежных звеньев в безопасности.
В данной статье рассказывается о том, как в рамках тестирования на проникновение, автоматизировать рассылку фишинговых писем с помощью Gophish Framework. Как установить фреймворк Gophish — рассказывается в статье: Gophish Framework. Установка фреймворка для фишинга.

Настроим все параметры рассылки:

Sending Profiles

gophish_1 Gophish не имеет собственного SMTP сервера, поэтому требуется указать ему сервер, через который он будет отправлять почту. В качестве сервера можно использовать любой сервер который подойдет по параметрам (например почтовую учетную запись одного из пользователей, которая была получена в рамках тестирования на проникновение, или публичный SMTP сервер, а так же создать свой. Как создать свой, описывается в статье: Создание простейшего почтового сервера для нужд тестирования на проникновение). Или создать свой почтовый сервер.
Создадим профиль для SMTP сервера. Для этого перейдем в Sending Profiles и нажмем кнопку New Profile.
Введем требуемые параметры:
Name: — имя профиля. Произвольное название(в примере: SMTP Profile);
From: — от какого имени и адреса будет производиться почтовая рассылка (в примере: Main Admin <admin@example.com>). Для русских имен потребуется создать трансляцию в UTF-8 вручную, как это сделать описывается в статье: Кодирование в UTF-8 для писем (MIME headers).
Используемый формат:

Если требуется, то имя и/или фамилию можно пропустить;
Нужно учитывать, что SMTP сервер должен разрешать отправку с этими реквизитами, а атакуемый сервер должен принимать письма с этими реквизитами;
Host:SMTP сервер, через который будет осуществляться отправка (в примере: smtp.example.com:25). Вводится в формате:

Username: — имя пользователя для SMTP сервера (в примере: admin@example.com);
Password: — пароль для SMTP сервера;
Отметим пункт Ignore Certificate Errors для игнорирования всех ошибок сертификатов.
И нажмем Send Test Email для проверки работоспособности и правильности настройки.
Если все правильно, то нажимаем Save Profile для сохранения.

Send Test Email

gophish_2 После нажатия кнопки Send Test Email нам предложат указать получателя тестового письма. Указываем получателя и нажимаем Send.
Если все настроено правильно, то в ответ придет письмо примерно такого содержания:

Users & Groups

gophish_3 Следующим шагом создадим профиль получателей фишинговых писем. Для этого перейдем в Users & Groups и нажмем кнопку New Group для добавления новой группы получателей.
Укажем следующие параметры:
Name: — имя профиля (в примере: Targets Email)
Далее либо импортируем информацию о почтовых ящиках из CSV файла, нажав Bulk Import Users и указав нужный файл либо добавим каждого пользователя вручную, заполнив поля:
First Name — Имя получателя (в примере: Vasilii);
Last Name — Фамилия получателя (в примере: Ivanov);
Email — почтовый адрес получателя (в примере: vivanov@example.com);
Position — должность получателя (в примере: Manager).
Все параметры, кроме Email можно оставлять незаполненными. Принцип заполнения будет зависеть от конкретной фишинговой атаки и социальной составляющей.
После указания данных получателя, нажимаем +Add для добавления в список.
После добавления всех получателей, нажимаем Save Changes для сохранения списка.

Email Templates

gophish_4 Теперь создадим шаблон письма, которое будет рассылаться. Для этого перейдем в Email Templates и нажмем кнопку New Template.
Имеющиеся поля:
Name: — имя шаблона (в примере: Mail Template);
Subject: — тема письма (в примере: [adm] Просьба срочно сменить пароль!)

Если есть готовое письмо, то его можно импортировать с помощью клавиши Import Email.

Можно заполнить тело письма вручную. В каком формате (Text или HTML) и какое содержимое — каждый решит для себя сам. В теле письма можно использовать следующие шаблоны, которые берутся из информации о получателе и отправителе, заполненной в предыдущих шагах и позволяют сделать письмо более персонифицированным:

{{.FirstName}} — имя получателя;
{{.LastName}} — фамилия получателя;
{{.Position}} — должность получателя;
{{.From}} — имя и фамилия отправителя.

Так же можно указать:
{{.TrackingURL}} — ссылка для трекинга письма (если каким-либо способом был переход по ссылке, то считается, что пользователь открыл письмо);
{{.Tracker}} — алиас для записи img src=”{{.TrackingUrl}}”, которая просто вставит в письмо изображение размером 1×1 пиксель, так же используется для трекинга (механизм отличается тем, что если картинка была запрошена с сервера, то письмо было открыто);
{{.URL}} — Адрес фишинговой страницы, которую мы будем создавать далее.

Отмечаем пункт Add Tracking Image, для добавления трекинга через изображение.
И можно добавить вложенные файлы, нажав +Add Files, но нужно помнить, что принимающий сервер может отфильтровывать некоторые типы файлов (например *.exe).
Когда все готов, нажимаем Save Template.

Landing Pages

gophish_5 В данном шаге создадим фишинговую страницу. Фишинговая страница будет находится на сервере Gophish, что очень удобно и не требует запуска отдельного Web сервера. Для этого перейдем Landing Pages и нажмем кнопку New Page.
Заполним требуемые поля:
Name: — имя шаблона для фишинговой страницы (в примере: Landing mail.example.com);
Далее можно либо импортировать существующую страницу в интернете с помощью клавиши Import Site либо самостоятельно создать ее в редакторе (в примере была импортирована страница Exchange 2007 Web Access, как она выглядит для конечного пользователя — будет показано далее). Импорт производится довольно хорошо, а поля для ввода данных автоматически заменяются на поля из которых будет сохранены данные, введенные пользователем.
Далее отметим интересующие нас данные, которые потребуется сохранить:
Capture Submitted Data — сохранять все введенные данные, кроме паролей;
Capture Passwords — сохранять пароли.
Остается указать на какую страницу будет перенаправлен пользователь после введения данных (указываем в поле Redirect to:) (в примере — на оригинальную страницу авторизации https://mail.example.com/owa).
После завершения, нажимаем Save Page.

Campaigns

gophish_6 Все предварительные настройки готовы. Теперь создадим фишинговую рассылку и запустим ее. Для этого перейдем в Campaigns и нажмем кнопку New Campaign для создания фишинговой рассылки.
Укажем параметры рассылки:
Name: — имя рассылки (в примере: Mail Phishing);
Email Template: — имя шаблона рассылаемого письма, созданного ранее (в примере: Mail Template);
Landing Page: — имя шаблона фишинговой страницы, созданной ранее (в примере: Landing mail.example.com);
URL: — ссылка по которому находится фишинговый сервер Gophish. Должна быть доступна пользователям получившим письмо (в примере: http://phishingexample.com);
Sending Profile: — имя профиля SMTP сервер, созданного ранее (в примере: SMTP Profile);
Groups: — имя профиля получателей фишингового письма, вводим имя и нажимаем кнопку +Add (в примере: Targets Email);
К сожалению выпадающих списков с профилями пока нет, но работает автодополнение, поэтому вводим первые буквы и выбираем из полученного списка.
После заполнения всех полей нажимаем кнопку Launch Campaign для запуска фишинговой рассылки.

Launch the Campaign

gophish_7 Gophish спросит, точно ли мы уверены что ходим запустить фишинговую рассылку. Отвечаем OK.

Campaign statistic

gophish_8 После запуска компании будут автоматически разосланы письма. Статистику рассылки можно посмотреть в разделе Campaigns, нажав на название нужной рассылки.

Фишинговое письмо

gophish_9 Так будет выглядеть фишинговое письмо у получателя. Как мы видим, текст письма пришел целиком, а вот исполняемый файл сервер не пропустил.

Phishing Landing Page

gophish_10 При переходе пользователя по ссылке будет отображена фишинговая странца. Скриншот моей фишинговой страницы.

Campaign statistic. Advanced

gophish_11 По каждому получателю можно посмотреть подробную статистику в разделе Campaigns.
В данном случае мы видим, что:
письмо было отправлено (Email Sent);
письмо было открыто, определяется по факту загрузки трекиноговой картинки с сервера Gophish (Email Opened);
Получатель перешел по фишинговой ссылке (Clicked Link);
Получатель попробовал авторизоваться и прислал нам свои реквизиты (Submitted Data):
username: user
password: pass

Это основные возможности фреймворка Gophish, позволяющего автоматизировать в рамках тестирования на проникновение фишинговые расссылки.

Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктуры

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Для того, чтобы сделать заказ:

Заполните форму обратной связи и мы обязательно с вам свяжемся:
Форма обратной связи
Позвоните нам по телефону:
+7(909)952-44-33
Напишите нам на электронную почту:
order@blackdiver.net
Напишите нам в Telegram:
Telegram
Другие способы связи Вы сможете найти в разделе Контакты.

2 мысли о “Gophish Framework. Создание фишинговой рассылки”

  1. Как правильно создать профиль для простейшего почтового SMTP сервера — Postfix ?
    А именно, как заполнить поля:
    Host: ???postfix??? 🙂
    Username:
    ………….:
    Чтобы отправлять письма от кого угодно !
    Спасибо.