Simulação de phishing – visa aumentar a conscientização sobre phishing

O Phishing Simulation visa principalmente aumentar o conhecimento sobre phishing, fornecendo um tutorial intuitivo e uma avaliação personalizada (sem nenhuma configuração real – sem domínio, sem infraestrutura, sem endereço de e-mail real) para avaliar a ação das pessoas em qualquer situação e permite entender qual é o atual postura de conscientização 

O quê?

  • Um dos objetivos das organizações que realizam avaliação de equipe vermelha é conhecer a fraqueza no ecossistema de TI, que inclui pessoas e rede. A organização faz todos os esforços para melhorar a segurança do perímetro e corrigir as vulnerabilidades encontradas, mas as pessoas continuam sendo o elo mais fraco. O phishing desempenha um papel vital na compreensão da conscientização de segurança dos funcionários.
  • A simulação de phishing permite que o usuário a entenda sem realizar o ataque de phishing ‘ao vivo’, aproveitando as sessões de treinamento atraentes e intuitivas.
  • A ferramenta fornecerá um ambiente personalizado para projetar seu teste de acordo com seus requisitos, o que torna as perguntas personalizadas para cada organização e únicas para cada pessoa, próximas a ataques de phishing em tempo real, direcionadas e difíceis de responder, mas tudo isso sem nenhum configuração real. Depois que o teste é projetado, todo o público-alvo pode fazer a avaliação e enviar as respostas. Teremos uma análise no final da campanha para entender a atual postura de conscientização.
  • Só é preciso um clique! Portanto, isso nos fará pensar duas vezes antes de fazermos um clique.

Por quê?

  • Durante a avaliação da equipe vermelha, é uma tarefa assustadora configurar uma campanha de phishing inteira. Decida um domínio, compre-o, configure um site de phishing, crie um email e escolha que o público-alvo rastreie os cliques para saber apenas quem clicou neles e se há conhecimento.
  • Isso precisará de tempo e conhecimento para ser configurado.
  • A ferramenta ajudará você a fazer tudo isso com apenas alguns cliques (e esses cliques são legítimos e ajudam você :))
  • As pessoas são as mais imprevisíveis e essa ferramenta ajudará você a conhecê-las e o padrão de cliques.

Os recursos e como usar a
ferramenta possuem principalmente 2 módulos:

  1. Módulo de administração: que tem acesso ao teste de configuração e análise da visualização, pode ser acessado em http: //localhost/AdminPanel/login.php , as credenciais de login padrão são admin / admin
  2. Módulo cliente: que tem acesso apenas ao tutorial e à avaliação, pode ser acessado em http: // localhost / phishClient /
  • Tutorial (módulo cliente)
    • Este terá um livro tutorial que apresenta phishing e as técnicas gerais usadas para criar conscientização e educação.
  • Avaliação (Módulo Cliente)
    • Isso incluirá várias perguntas que podem ser e-mails de phishing, site ou cenário de phishing, e o usuário terá que escolher a ação, se clicará, ignorará ou denunciará.
    • As perguntas serão diferentes para cada usuário, mesmo com o mesmo código de teste.
    • As perguntas terão uma mistura justa de perguntas positivas e negativas.
    • Para passar no teste, todas as respostas devem estar corretas, pois basta um clique!
  • Teste de configuração (Módulo Administrativo)
    • A ferramenta solicitará algumas informações básicas de você aqui. Para nomear alguns,
      • Nome de domínio: aqui você digitará seu domínio legítimo e a ferramenta criará um conjunto de domínios semelhantes que os adversários podem usar para atacá-lo. Você pode escolher um deles que será usado durante a avaliação da simulação de phishing.
      • URL: aqui você inserirá o URI dos sites usados ​​popularmente e criaremos um site de phishing com aparência semelhante, que será mostrado no domínio semelhante escolhido para criar um cenário da vida real, também conhecido como ‘Typosquatting’ durante a avaliação.
      • Código de teste: você pode criar um código de teste para cada departamento e criar configurações de teste diferentes para eles, para que todos obtenham sites de phishing diferentes, tornando a avaliação ainda mais difícil. Mesmo sob o mesmo teste, o conjunto de perguntas será diferente para cada funcionário.
      • Visualizar: você pode visualizar a aparência da página da web de phishing que criamos semelhante ao seu site original.
      • ID de email: aqui você deve adicionar um ID de email oficial que geralmente é usado para comunicação em massa e geraremos mais combinações de IDs de email e usá-las durante a avaliação.
  • Análise (Módulo Administrativo)
    • Isso terá um gráfico de análise de diferentes cenários com base no padrão em que os funcionários responderam às perguntas.
    • Isso ajudará a conhecer a atual postura de conscientização da organização.

Benefícios

  • Isso eliminará a necessidade de configurar manualmente toda a campanha de phishing e o ambiente de phishing ‘ao vivo’.
  • A avaliação é personalizada, o que tornará o ataque direcionado ao usuário alvo.
  • Uma interface intuitiva e interativa para exercitar todo o processo.
  • Não é necessário ter um testador de caneta ou um consultor para realizar a campanha de phishing; você pode fazer isso sozinho com apenas alguns cliques.
  • Conheça o seu pessoal e conscientize-o.

Diretrizes de instalação

Docker
A ser atualizado em breve

Instalação manual para Windows (semelhante deve ser aplicável ao Linux)

  1. Faça o download do XAMPP em – https://www.apachefriends.org/download.html e siga o fluxo de instalação na tela. Ele instalará o servidor web e o MySQL para você.
  2. Se você não quiser usar o XAMPP, qualquer servidor da Web que você possua e uma instalação independente do MySQL devem ser suficientes.
  3. Depois de concluir a Etapa 1 ou 2, dependendo da sua escolha, no painel de controle do XAMPP, inicie o serviço ‘Apache’ e ‘MySQL’.
  4. Abra http: // localhost / phpmyadmin / ou http: // IP / phpmyadmin / no navegador.
  5. Clique em ‘Bancos de dados’ criar banco de dados com o nome ‘phishadmin’
  6. Clique em ‘Importar’ e importe o arquivo anexado aqui com o código, em / sql / folder phishadmin.sql
  7. Copie o código fonte disponível aqui na pasta C: \ xampp \ htdocs \ (o caminho varia para os usuários do Linux) e você termina a instalação.

Consulte a seção ‘Como usar’ para usabilidade. 
(i) Admin Module – http: //localhost/AdminPanel/login.php , as credenciais de login padrão são admin / admin. (ii) Módulo do cliente – http: // localhost / phishClient /

Faça o download da simulação de phishing

Seja o primeiro a comentar

Deixe uma resposta

O seu endereço de email não será publicado.


*