Les équipes de sécurité s’inquiètent constamment des escroqueries par phishing. De toutes les attaques d’ingénierie sociale, le phishing est la plus importante et la plus efficace.
Malgré des conseils complets pour aider les employés à éviter d’être victimes de programmes de phishing et de technologies qui contribuent à empêcher de nombreuses escroqueries d’atteindre les boîtes de réception des employés, les attaques de phishing continuent de tourmenter les entreprises. Les employés sont amenés à révéler des informations sensibles qu’ils ne divulgueraient généralement pas, notamment les identifiants de connexion, les informations sensibles et les données de l’entreprise. Ces attaques – généralement lancées par courrier électronique ou sur de faux sites Web – sont particulièrement puissantes car elles semblent souvent provenir d’une source fiable, telle qu’un collègue, une institution financière ou une autre entité commerciale.
Il est important de comprendre les faiblesses du phishing avant de proposer une autre formation de sensibilisation à la sécurité aux employés. C’est là que Gophish entre en jeu. Ce cadre gratuit et open source permet aux équipes de sécurité de tester la manière dont les employés réagissent aux messages de phishing potentiels. Il s’appuie sur une interface utilisateur Web pour plus de simplicité et de clarté, ce qui le rend compatible avec Linux, macOS et Windows.
L’outil a été conçu pour aider les organisations à identifier les opportunités de formation et à renforcer leur posture globale de sécurité. Ses principales utilisations sont l’enseignement et la démonstration d’ingénierie sociale, la formation à la sensibilisation à la cybersécurité et les tests d’intrusion. Gophish fait souvent partie d’une initiative plus large de tests d’intrusion, car il peut valider les réponses des employés, y compris celles qui pourraient servir de point d’entrée.
Gophish fait souvent partie d’une initiative plus large de tests d’intrusion, car il peut valider les réponses des employés, y compris celles qui pourraient servir de point d’entrée.
Voyons comment utiliser Gophish pour former les utilisateurs à éviter les véritables attaques de phishing.
Comment installer Gophish
L’outil propose deux options d’installation : utilisez le binaire précompilé ou compilez l’application vous-même. Pour la plupart des cas d’utilisation, utilisez le binaire précompilé. A noter que l’application n’a pas été mise à jour depuis quelques années, mais elle devrait rester pleinement fonctionnelle sur les systèmes modernes.
Lorsque vous apprenez à utiliser Gophish, vous devrez peut-être ajouter sudo aux commandes suivantes sur les systèmes Linux, en fonction de vos informations de connexion. MacOS peut avoir des restrictions similaires nécessitant une élévation de privilèges.
Le /opt/gophish Le répertoire contient désormais les fichiers de support de l’application et le gophique exécutable. Accédez à ce répertoire en utilisant le cd /opt/gophish commande.
Exécutez les deux commandes suivantes pour définir les autorisations sur le config.json fichier et le gophique exécutable :
chmod 0640 config.json
chmod +x gophish
Enfin, exécutez l’application à partir du /opt/gophish annuaire:
./gophish
Vous pouvez ajouter le répertoire à votre $CHEMIN variable si vous le souhaitez.
Gophish prend également en charge l’utilisation d’un fichier image Docker. Exécuter Gophish dans un conteneur est un excellent moyen de commencer.
Gophish étant écrit dans le langage de programmation Go, il est portable entre les systèmes Linux, macOS et Windows. Consultez la documentation en ligne pour plus de détails sur la compilation de Gophish. La version courte est que vous devez installer le langage de programmation Go et un compilateur GCC avant de télécharger le code source.
Comment configurer Gophish
Modifier le config.json Fichier JSON pour personnaliser les paramètres de Gophish ou définir des exigences spécifiques. Vous pouvez également configurer un certificat OpenSSL pour établir des connexions HTTPS au site d’administration de Gophish. Le paramètre principal est le écouter_url champ, qui doit pointer vers votre adresse IP cible.
Gophish utilise SQLite, ce qui devrait suffire pour la plupart des environnements. Les grandes organisations devront peut-être plutôt utiliser MySQL.
Exécutez Gophish manuellement en exécutant le ./gophish commande. Vous pouvez également créer un fichier de service Linux pour lancer l’application automatiquement.
Comment lancer une campagne Gophish
Lancer un système de phishing simulé à l’aide de Gophish est simple. Connectez-vous à l’interface à l’aide d’un navigateur, configurez les groupes à cibler, créez l’e-mail de phishing et la page de destination, puis planifiez votre campagne. Voici les étapes spécifiques :
Exécutez le gophique exécutable pour lancer l’application.
Connectez-vous à http://localhost:3333 site d’administration en utilisant les informations d’identification par défaut. Le nom d’utilisateur est administrateur et le mot de passe est gophique.
Modifiez immédiatement vos identifiants de connexion. Certaines versions de Gophish nécessitent cette étape et d’autres vous font confiance pour le faire vous-même.
Configurez un profil d’envoi SMTP, permettant à Gophish d’envoyer des e-mails.
Configurez les groupes cibles à l’aide de Utilisateurs et groupes interface. Ces utilisateurs recevront des e-mails de phishing Gophish. Vous pouvez saisir des adresses individuelles à tester ou importer un fichier CSV si vous ciblez de nombreux utilisateurs.
Sélectionnez le Modèles d’e-mails interface pour créer des messages de phishing. Ces messages doivent contenir une URL sur laquelle les utilisateurs peuvent cliquer. L’URL les mène vers une page de destination.
Sélectionnez le Pages de destination interface pour créer un exemple de page Web liée au lien que vous avez inclus dans le message. La page de destination simule une véritable invite de connexion ou une autre interface où les utilisateurs peuvent exposer des informations sensibles.
Sélectionnez le Campagnes interface, puis choisissez +Nouvelle campagne. Créez un nom de campagne, choisissez le profil d’envoi, le groupe cible, le modèle d’e-mail et la page de destination. Sélectionnez les informations de planification pour terminer le processus.
Un tableau de bord Gophish permet une surveillance en temps réel à l’aide d’affichages qui reflètent la manière dont les utilisateurs interagissent avec l’e-mail et la page de destination.
Pensez à utiliser plusieurs campagnes pour cibler différents utilisateurs avec différents types de tentatives de phishing. Utilisez le calendrier pour diffuser les messages, en contribuant à les rendre légitimes.
Si vous rencontrez des problèmes avec le processus, consultez le guide de l’utilisateur de Gophish. Il dispose de nombreuses ressources pour lancer et dépanner des campagnes.
Cas d’utilisation avancés
Gophish propose plusieurs options de gestion avancées, notamment les suivantes :
Formation de sensibilisation à Gophish et à la sécurité
Apprendre aux utilisateurs à reconnaître – ou du moins à remettre en question – les courriers électroniques suspects est un élément essentiel pour éviter les attaques de phishing.
L’utilisation de Gophish pour enregistrer les interactions permet aux équipes de sécurité de générer des rapports, de présenter leurs résultats et de personnaliser l’approche de formation contre le phishing de leur organisation en fonction des défis de phishing de leurs employés.
Gophish est un moyen simple mais efficace d’atténuer les attaques de phishing.
Damon Garn est propriétaire de Cogspinner Coaction et fournit des services indépendants de rédaction et d’édition informatique. Il a rédigé plusieurs guides d’étude CompTIA, notamment les guides Linux+, Cloud Essentials+ et Server+, et contribue largement aux blogs Informa TechTarget, The New Stack et CompTIA.
