Gophish Framework. Создание фишинговой рассылки

При тестировании на проникновение часто приходится пользоваться социальной инженерией, потому что человек – одно из самых ненадежных звеньев в безопасности.
В данной статье рассказывается о том, как в рамках тестирования на проникновение, автоматизировать рассылку фишинговых писем с помощью Gophish Framework. Как установить фреймворк Gophish – рассказывается в статье: Gophish Framework. Установка фреймворка для фишинга.

Настроим все параметры рассылки:

Sending Profiles

Gophish не имеет собственного SMTP сервера, поэтому требуется указать ему сервер, через который он будет отправлять почту. В качестве сервера можно использовать любой сервер который подойдет по параметрам (например почтовую учетную запись одного из пользователей, которая была получена в рамках тестирования на проникновение, или публичный SMTP сервер, а так же создать свой. Как создать свой, описывается в статье: Создание простейшего почтового сервера для нужд тестирования на проникновение). Или создать свой почтовый сервер.
Создадим профиль для SMTP сервера. Для этого перейдем в Sending Profiles и нажмем кнопку New Profile.
Введем требуемые параметры:
Name: – имя профиля. Произвольное название(в примере: SMTP Profile);
From: – от какого имени и адреса будет производиться почтовая рассылка (в примере: Main Admin <admin@example.com>). Для русских имен потребуется создать трансляцию в UTF-8 вручную, как это сделать описывается в статье: Кодирование в UTF-8 для писем (MIME headers).
Используемый формат:

Имя Фамилия <адрес_почты>

Если требуется, то имя и/или фамилию можно пропустить;
Нужно учитывать, что SMTP сервер должен разрешать отправку с этими реквизитами, а атакуемый сервер должен принимать письма с этими реквизитами;
Host: – SMTP сервер, через который будет осуществляться отправка (в примере: smtp.example.com:25). Вводится в формате:

сервер:порт

Username: – имя пользователя для SMTP сервера (в примере: admin@example.com);
Password: – пароль для SMTP сервера;
Отметим пункт Ignore Certificate Errors для игнорирования всех ошибок сертификатов.
И нажмем Send Test Email для проверки работоспособности и правильности настройки.
Если все правильно, то нажимаем Save Profile для сохранения.

Send Test Email

После нажатия кнопки Send Test Email нам предложат указать получателя тестового письма. Указываем получателя и нажимаем Send.
Если все настроено правильно, то в ответ придет письмо примерно такого содержания:

It works!

This is an email letting you know that your gophish
configuration was successful.
Here are the details:

Who you sent from: Main Admin

Who you sent to:
First Name: Ivan
Last Name: Petrov
Position: Logistic

Now go send some phish!

Users & Groups

Следующим шагом создадим профиль получателей фишинговых писем. Для этого перейдем в Users & Groups и нажмем кнопку New Group для добавления новой группы получателей.
Укажем следующие параметры:
Name: – имя профиля (в примере: Targets Email)
Далее либо импортируем информацию о почтовых ящиках из CSV файла, нажав Bulk Import Users и указав нужный файл либо добавим каждого пользователя вручную, заполнив поля:
First Name – Имя получателя (в примере: Vasilii);
Last Name – Фамилия получателя (в примере: Ivanov);
Email – почтовый адрес получателя (в примере: vivanov@example.com);
Position – должность получателя (в примере: Manager).
Все параметры, кроме Email можно оставлять незаполненными. Принцип заполнения будет зависеть от конкретной фишинговой атаки и социальной составляющей.
После указания данных получателя, нажимаем +Add для добавления в список.
После добавления всех получателей, нажимаем Save Changes для сохранения списка.

Email Templates

Теперь создадим шаблон письма, которое будет рассылаться. Для этого перейдем в Email Templates и нажмем кнопку New Template.
Имеющиеся поля:
Name: – имя шаблона (в примере: Mail Template);
Subject: – тема письма (в примере: [adm] Просьба срочно сменить пароль!)

Если есть готовое письмо, то его можно импортировать с помощью клавиши Import Email.

Можно заполнить тело письма вручную. В каком формате (Text или HTML) и какое содержимое – каждый решит для себя сам. В теле письма можно использовать следующие шаблоны, которые берутся из информации о получателе и отправителе, заполненной в предыдущих шагах и позволяют сделать письмо более персонифицированным:

{{.FirstName}} – имя получателя;
{{.LastName}} – фамилия получателя;
{{.Position}} – должность получателя;
{{.From}} – имя и фамилия отправителя.

Так же можно указать:
{{.TrackingURL}} – ссылка для трекинга письма (если каким-либо способом был переход по ссылке, то считается, что пользователь открыл письмо);
{{.Tracker}} – алиас для записи img src=”{{.TrackingUrl}}”, которая просто вставит в письмо изображение размером 1×1 пиксель, так же используется для трекинга (механизм отличается тем, что если картинка была запрошена с сервера, то письмо было открыто);
{{.URL}} – Адрес фишинговой страницы, которую мы будем создавать далее.

Отмечаем пункт Add Tracking Image, для добавления трекинга через изображение.
И можно добавить вложенные файлы, нажав +Add Files, но нужно помнить, что принимающий сервер может отфильтровывать некоторые типы файлов (например *.exe).
Когда все готов, нажимаем Save Template.

Landing Pages

В данном шаге создадим фишинговую страницу. Фишинговая страница будет находится на сервере Gophish, что очень удобно и не требует запуска отдельного Web сервера. Для этого перейдем Landing Pages и нажмем кнопку New Page.
Заполним требуемые поля:
Name: – имя шаблона для фишинговой страницы (в примере: Landing mail.example.com);
Далее можно либо импортировать существующую страницу в интернете с помощью клавиши Import Site либо самостоятельно создать ее в редакторе (в примере была импортирована страница Exchange 2007 Web Access, как она выглядит для конечного пользователя – будет показано далее). Импорт производится довольно хорошо, а поля для ввода данных автоматически заменяются на поля из которых будет сохранены данные, введенные пользователем.
Далее отметим интересующие нас данные, которые потребуется сохранить:
Capture Submitted Data – сохранять все введенные данные, кроме паролей;
Capture Passwords – сохранять пароли.
Остается указать на какую страницу будет перенаправлен пользователь после введения данных (указываем в поле Redirect to:) (в примере – на оригинальную страницу авторизации https://mail.example.com/owa).
После завершения, нажимаем Save Page.

Campaigns

Все предварительные настройки готовы. Теперь создадим фишинговую рассылку и запустим ее. Для этого перейдем в Campaigns и нажмем кнопку New Campaign для создания фишинговой рассылки.
Укажем параметры рассылки:
Name: – имя рассылки (в примере: Mail Phishing);
Email Template: – имя шаблона рассылаемого письма, созданного ранее (в примере: Mail Template);
Landing Page: – имя шаблона фишинговой страницы, созданной ранее (в примере: Landing mail.example.com);
URL: – ссылка по которому находится фишинговый сервер Gophish. Должна быть доступна пользователям получившим письмо (в примере: http://phishingexample.com);
Sending Profile: – имя профиля SMTP сервер, созданного ранее (в примере: SMTP Profile);
Groups: – имя профиля получателей фишингового письма, вводим имя и нажимаем кнопку +Add (в примере: Targets Email);
К сожалению выпадающих списков с профилями пока нет, но работает автодополнение, поэтому вводим первые буквы и выбираем из полученного списка.
После заполнения всех полей нажимаем кнопку Launch Campaign для запуска фишинговой рассылки.

Launch the Campaign

Gophish спросит, точно ли мы уверены что ходим запустить фишинговую рассылку. Отвечаем OK.

Campaign statistic

После запуска компании будут автоматически разосланы письма. Статистику рассылки можно посмотреть в разделе Campaigns, нажав на название нужной рассылки.

Фишинговое письмо

Так будет выглядеть фишинговое письмо у получателя. Как мы видим, текст письма пришел целиком, а вот исполняемый файл сервер не пропустил.

Phishing Landing Page

При переходе пользователя по ссылке будет отображена фишинговая странца. Скриншот моей фишинговой страницы.

Campaign statistic. Advanced

По каждому получателю можно посмотреть подробную статистику в разделе Campaigns.
В данном случае мы видим, что:
письмо было отправлено (Email Sent);
письмо было открыто, определяется по факту загрузки трекиноговой картинки с сервера Gophish (Email Opened);
Получатель перешел по фишинговой ссылке (Clicked Link);
Получатель попробовал авторизоваться и прислал нам свои реквизиты (Submitted Data):
username: user
password: pass

Это основные возможности фреймворка Gophish, позволяющего автоматизировать в рамках тестирования на проникновение фишинговые расссылки.

Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктуры Быть уверенным в своей IT-инфраструктуре – это быть уверенным в завтрашнем дне. Для того, чтобы сделать заказ: Заполните форму обратной связи и мы обязательно с вам свяжемся: Форма обратной связи Позвоните нам по телефону: +7(909)952-44-33 Напишите нам на электронную почту: order@blackdiver.net Напишите нам в Telegram: Telegram Другие способы связи Вы сможете найти в разделе Контакты.