GoPhish, simulare un attacco phishing per valutare l’esposizione cyber aziendale: ecco come

GoPhish è un framework open source per la creazione e la simulazione di campagne di phishing che può aiutare le compagnie a valutare quale possa essere la propria esposizione a questa tipologia di attacco informatico.

Si tratta, dunque, di un ottimo strumento utilizzabile per eseguire test di sicurezza sulle applicazioni aziendali e per effettuare una sessione di formazione pratica al proprio personale, necessaria anche per dare conto della conformità alle normative in tema di protezione dei dati personali.

GoPhish: la procedura di installazione

Il framework open source GoPhish è disponibile per tutte le piattaforme, tra cui Windows, Mac OSX e Linux. Nell’articolo vedremo come usarla su una distribuzione Linux Ubuntu 20.04, ma le procedure indicate possono essere facilmente adattate a qualsiasi altro sistema operativo.

Per installare GoPhish su Ubuntu 20.04 è necessario utilizzare Go, un linguaggio di programmazione sviluppato su Google che offre tutto il set di librerie necessarie al funzionamento del framework.

Nel caso in cui Go non fosse presente sul proprio sistema, occorre seguire questi step:

1. usare curl o wget per scaricare i binari per Go dalla pagina ufficiale del progetto;
2. eseguire il comando: sudo snap install go –classic;
3. eseguire il comando: go get github.com/gophish/gophish;
4. spostarsi nella cartella $GOPATH/src/github.com/gophish/gophish/ ed eseguire il comando go build.

Sono presenti alcuni settaggi che possono essere configurati nel file config.json, che si trova nella directory principale di GoPhish.

Di default, phish_server.listen_url è configurato per rimanere in ascolto su tutte le interfacce. Ciò significa che se l’host su cui è configurato GoPhish è esposto su Internet, il software sarà raggiungibile pubblicamente. Per rendere accessibile anche l’interfaccia amministrativa via Internet è necessario modificare il parametro admin_server.listen_url con 0.0.0.0:3333. Si sconsiglia, comunque, di procedere in questo modo, se non per validi motivi.

In seguito all’installazione di GoPhish, per avviarlo è sufficiente spostarsi nella cartella ~/src/github.com/gophish/gophish$, digitare ./gophish e premere Invio.

Successivamente, è necessario aprire un browser e, se si è mantenuto invariato il file di configurazione, collegarsi a https://127.0.0.1:3333.

Verrà così visualizzata la schermata di login.

Per accedere al pannello di controllo dell’applicazione occorre utilizzare le credenziali che è possibile reperire nei log in seguito all’avvio.

Subito dopo il primo avvio è opportuno impostare una nuova password.

Viene quindi presentata la Dashboard con i vari elementi che la costituiscono.

GoPhish: come simulare un attacco phishing

Cliccare su Sending Profiles per impostare il profilo che verrà utilizzato per l’invio delle e-mail relativa alle campagne di phishing e compilare i campi con i parametri relativi al server di posta che si intende utilizzare durante l’attività. Salvare le impostazioni cliccando su Save Profile.

Cliccare su Email Templates per creare il modello di email che verrà inviato agli utenti oggetto del test ed inserire i parametri richiesti. È qui che va inserito il link su cui il destinatario del messaggio dovrà essere spinto a cliccare.

Selezionando il tab HTML è possibile inserire contenuto HTML del finto messaggi di posta elettronica. Un esempio è il seguente:

{{.FirstName}},

La password per l’email {{.Email}} è scaduta. Clicca qui per resettare la tua password.

Grazie,

Lo Staff IT

Il valore dei parametri {{.FirstName}} e {{.Email}} varierà per ogni utente coinvolto nel test, in base a quanto inserito nei gruppi che si andranno successivamente a creare.

Per inserire il link su cui l’utente deve essere spinto a cliccare, è possibile evidenziare una parola nell’email (nell’esempio “qui”) e quindi cliccare sull’icona relativa nel menu, andando a compilare i campi nella finestra che viene visualizzata.

Cliccare quindi su Landing Pages e New Page. Procedere compilando i campi richiesti. Nel caso specifico, utilizziamo un semplice form di login HTML. In questo modo si andrà a creare la pagina su cui gli utenti atterreranno dopo aver cliccato sul link presente nell’email di phishing che andranno a ricevere.

Il pulsante Import Site ci permette di clonare un sito web già esistente e pubblicarlo tramite GoPhish per l’esecuzione della simulazione.

Spuntare la casella di controllo Capture Submitted Data per registrare gli eventuali username e password inseriti dagli utenti che dovessero compilare il form presente sul portale a cui verranno indirizzati.

Prestare particolare attenzione al fatto che le eventuali password catturate saranno salvate in un database in chiaro.

Ecco cosa apparirà agli utenti che visiteranno il link presente nell’email ricevuta.

Configurare una sessione di formazione sul phishing

Cliccare su Users & Groups e New Group. Ciò ci permetterà di creare i gruppi di utenti che saranno oggetto della nostra campagna di phishing.

Compilare il campo Name e procedere all’inserimento degli utenti coinvolti, indicando almeno First Name, Last Name ed Email. Presente la possibilità di procedere ad un Bulk Import, cliccando sul relativo pulsante in rosso, importando i dati degli utenti da un file in formato CSV.

È possibile procedere ora con la creazione di una campagna di phishing. Cliccare su Campaigns e quindi New Campaign.

Sarà necessario:

• digitare il nome della campagna di phishing;
• selezionare dal menu a tendina l’Email Template creato in precedenza;
• selezionare dal menu a tendina la Landing Page precedentemente creata;
• inserire l’URL del listener di GoPhish dove è pubblicata la landing page;
• indicare l’orario di avvio della campagna di phishing;
• selezionare dal menu a tendina il Sending Profile creato in precedenza;
• selezionare dal menu a tendina il gruppo di utenti oggetto del test.

Cliccando su Launch Campaign si darà inizio al test e la campagna di phishing apparirà come In Progress.

Cliccando sul pulsante View Result è possibile accedere ad una dashboard che mostra l’evoluzione della campagna.

Nella schermata che appare viene mostrato il numero di e-mail inviate, di quelle aperte dai target, di quante volte sono stati cliccati i link in esse contenuti, di quante persone hanno compilato il form presente nella landing page e di quante invece hanno indicato la mail come spam.

Scorrendo verso il basso è possibile visionare i dettagli delle azioni intraprese da ciascun utente che abbia ricevuto il messaggio.

È possibile cliccare sul triangolo a fianco di ciascun nome per visionare ulteriori dettagli.

Una volta che il lasso di tempo determinato per l’esecuzione della campagna volge al termine, nella dashboard dei risultati della campagna cliccare su Complete.

Per ottenere i report in formato DOCX o XLSX si consiglia di utilizzare un tool creato dalla community di GoPhish, chiamato Goreport.

L’installazione è estremamente semplice. Una volta ottenuti i file necessari, spostarsi nella cartella Goreport ed eseguire il comando pip3 install -r requirements.txt. Creare quindi il file di configurazione Gophish.conf, sul modello di quanto segue:

[Gophish]

gp_host: https://127.0.0.1:3333

api_key: <YOUR_API_KEY>

[ipinfo.io]

ipinfo_token: <IPINFO_API_KEY>

[Google]

geolocate_key: <GEOLOCATE_API_KEY>

Per produrre un report è sufficiente eseguire il comando python3 Goreport.py –id (campagna) –format excel.