9 najlepszych symulatorów phishingu na świecie- moim zdaniem

Wiem, wiem, lepiej poczytnymi artykułami są wszystkie 10 najlepszych… Ale cóż.

Jednocześnie podczas przeprowadzania badań i poszukiwaniach, próbach różnych narzędzi, odwiedzaniu linków pod którymi nic nie ma, wypełnianiu setek formularzy i przeglądaniu list mailingowych, doszedłem do wniosku, że słowa darmowy i bardzo dobry niekoniecznie idą ze sobą w parze. Tak naprawdę istnieje tylko kilka narzędzi, za pomocą których jesteśmy w stanie przeprowadzić rzeczywiście miarodajne testy w naszej organizacji.

Lista, która znajduje się poniżej nie obejmuje żadnych podejrzanych stron i aplikacji, które pozwalają na stworzenie fałszywych witryn. Dodatkowo nie uwzględniam żadnych bezpłatnie zarządzanych kampanii, które są obecnie tak szumnie reklamowane w sieci. W tym artykule skupiłem się tylko na narzędziach, które pozwolą samodzielnie stworzyć i przeprowadzić kampanię phishingową, co dla mnie osobiście oznacza stworzenie i wysłanie phishingowej wiadomości do prawdziwego odbiorcy.

Słowem wstępu, czyli jak przebiegała klasyfikacja i kilka początkowych wniosków

Przeglądając sieć, bardzo szybko doszedłem do wniosku, że jeśli szukam darmowego symulatora phishingowego, to pozostają mi tak naprawdę 3 możliwości:

  1. Po pierwsze, powinniśmy się przyjrzeć prostym narzędziom, które pozwalają na stworzenie prostej wiadomości email oraz wysłanie jej do jednego lub kilku odbiorców za pomocą określonego serwera pocztowego. W tym przypadku nie mamy możliwości ani wygenerowania raportów ani zarządzania daną kampanią, dlatego te narzędzia są bardziej podobne do narzędzi do testów penetracyjnych niż do symulatorów kampanii phishingowych.
  2. Po drugie możemy skorzystać z platformy pisihingowej typu open source. Platformy tego typu to aktualnie najbardziej rozwijająca się oraz interesująca kategoria w tym zestawieniu, dlatego będą one stanowić większość poniższej listy. Oprogramowanie open source pozwala na czerpanie wszystkich korzyści, jakie oferują potężne komercyjne narzędzia, a mianowicie bogactwo różnego typu funkcji oraz pełne wsparcie społeczności. Jednocześnie tego typu platformy posiadają także wszystkie wady produktów open source. Aby uruchomić większość tych narzędzi potrzebna jest wiedza techniczna, ponieważ musimy je zainstalować, skonfigurować i dopiero potem uruchomić. Większość z tych narzędzi jest oparta na systemie Linux, wiec jeśli nie potrafimy zainstalować brakujących zależności, to nie mamy czego szukać w tej kategorii.
  3. Istnieje także rozwiązanie numer 3, którym są wersje demonstracyjne wszelkich produktów komercyjnych. Większość z nich jest oferowana jako oprogramowanie w formie usługi SaaS. Narzędzia tego typu posiadają naprawdę imponujące możliwości: łatwość użytkowania, bogate funkcje, pełne raportowanie, wsparcie techniczne i inne możliwości. W dzisiejszych czasach phishing to jedno z największych zagrożeń, a oprogramowanie SaaS powstaje można powiedzieć taśmowo, a więc odnalezienie darmowych wersji demo nie jest wcale ciężkim zadaniem. Aczkolwiek jest to łatwe, dopóki nie spróbujemy tego w praktyce. W rzeczywistości, aby uzyskać dostęp do darmowego demo, musimy wypełnić wszelkiego rodzaju formularze, zapisać się na listę mailingową, potwierdzić adres e-mail, a w skrajnych przypadkach nawet skontaktować się z dostawcą. Zwykle mamy dostęp do darmowej kampanii zarządzanej przez dostawcę lub konto demonstracyjne z tak wieloma ograniczeniami, że nie jesteśmy w stanie nawet dobrze zrozumieć idei działania danej platformy, nie mówiąc już o tworzeniu rzeczywistych kampanii i zarządzaniu nimi. Po prostu produkt SaaS musi się sprzedawać, a więc dopiero z pełnej wersji można w jakiś sposób korzystać. Jednocześnie od każdej reguły jest wyjątek i jest jedna platforma, która pomagam rozwijać, a która znajduje się na górze naszej listy.
  4. 9 najlepszych symulatorów phishingu

    Po pierwsze Infosec HQ

    Zdecydowanie muszę napisać tutaj kilka słów. Z platformą Infosec oraz Intense School jestem związany od 2012 roku. Współpraca zwykle układała się bardzo dobrze. Nawet nie wiecie, jak bardzo się ucieszyłem, poznając narzędzie Infosec HQ, ponieważ prywatnie bardzo kibicuje Jackowi Koziolowi. Ale wróćmy do narzędzia. Infosec IQ firmy Infosec zawiera bezpłatny test, pozwalający ocenić ryzyko phishingowe i umożliwiający uruchomienie bezpłatnej kampanii phishingowej, automatycznie sprawdzając odporność danej firmy na atak phishingowy. Pierwsze wyniki dostajemy w ciągu 24 godzin.

    Darmowa wersja umożliwia także dostęp do pełnowymiarowego narzędzia, symulującego atak phishingowy, o nazwie PhishSim. Moduł PhishSim pozwala przeprowadzać zaawansowane symulacje dla całej organizacji. Dodatkowo rozwiązanie zawiera ponad 1000 szablonów phishingowych, różnego rodzaju załączniki i adresy stron docelowych, służące do wprowadzania danych. Narzędzie PhishSim jest aktualizowane do tydzień, co umożliwia edukowanie pracowników w zakresie najbardziej aktualnych oszustw, związanych z kampaniami phishingowymi. Można tworzyć niestandardowe szablony, co pozwala na tworzenie kampanii phishingowych zgodnie ze specyfikacją określonej firmy.

    Założenie bezpłatnego konta w Infosec IQ zapewnia pełny dostęp do biblioteki szablonów PhishSim i narzędzi edukacyjnych, ale będziesz musiał porozmawiać z przedstawicielem Infosec IQ, aby móc uruchomić bezpłatną kampanię PhishSim.

    Gophish

    Gophish to pierwsza platforma w tym zestawieniu, która zajmuje się tematem phishingu i robi to naprawdę nieźle. Platforma jest obsługiwana przez większość systemów operacyjnych, a instalacja jest niezwykle prosta i polega na wyodrębnieniu plików z archiwum ZIP. Interfejs aplikacji jest prosty i intuicyjny, a funkcje, których nie ma wiele, są bardzo dobrze zaimplementowane. Dodatkowo można w bardzo prosty sposób zarządzać użytkownikami oraz zaimportować nowych użytkowników z pliku CSV. Szablony nowych wiadomości są łatwe do utworzenia, ale nie ma ich zbyt wielu w darmowym repo, utrzymywanym przez społeczność. Modyfikacja wiadomości też jest dosyć prosta. Patrząc na same kampanie, można powiedzieć, że osoba początkująca poradzi sobie z nimi bez większych problemów. Raporty są także dosyć przyjemne dla oka i mogą zostać wyeksportowane do formatu CSV. Głównymi wadami jest brak bazy wiedzy do szkoleń pracowników oraz brak opcji planowania kampanii.

    LUCY

    LUCY to pierwsza komercyjna aplikacja, jaką wymieniamy na liście, ale która spełnia nasze kryterium, ponieważ pozwala na pobranie bezpłatnej, społecznościowej wersji całej platformy. Jedyne czego potrzeba, aby pobrać to rozwiązanie, to podanie adresu e-mail, imienia i nazwiska. Form pobierania także jest sporo. LUCY może zostać pobrane jako program, urządzenie, a nawet skrypt instalacyjny Debiana. Sam interfejs jest dosyć intuicyjny, ale zagmatwany. Cała platforma pozwala na przeprowadzenie kompletnych badań i tak naprawdę jest pełnoprawną platformą socjotechniczną. Dodatkowo LUCY posiada moduł quizów oraz ogromną bazę wiedzy, która pozwala na edukowanie pracowników.

    Dlaczego więc LUCY zajmuje dopiero odległą, trzecią pozycję? Ponieważ na początku zostało powiedziane, że tematem artykułu będą tylko narzędzia darmowe, a darmowa wersja oprogramowania ma naprawdę tak wielką liczbę ograniczeń, że nie może być używana skutecznie w środowisku korporacyjnym. Istnieje wiele ważnych funkcji, które nie są w ogóle dostępne w wersji społecznościowej. Na przykład wersja na tej licencji nie pozwala eksportować statystyk kampanii, przeprowadzać ataków za pomocą różnego typu plików oraz nie pozwala zaplanować całej kampanii. Darmowa wersja programu pozwala poczuć się jak prawdziwy cyberkryminalista atakujący organizację, ale nie pozwala na zbyt dużo operacji.

    Simple Phishing Toolkit (sptoolkit)

    Tego narzędzia nie mogło zabraknąć w naszym zestawieniu. Mimo że jeśli spojrzymy na interfejs tego narzędzia, to mamy przeświadczenie podróży w czasie w okolice roku 2010, to jest jedna ważna cecha, która daje temu narzędziu wysoka pozycję na naszej liście. Simple Phishing Toolkit daje możliwość połączenia kampanii phishingowych z edukacją w zakresie bezpieczeństwa. Jeśli już klikniemy na link w kampanii, zostaniemy przekierowani do strony, zawierającej film edukacyjny o różnych zagrożeniach. Dodatkowo istnieje także możliwość śledzenia poczynań użytkowników, którzy ukończyli szkolenie. Oprócz ogromnej łyżki miodu jest też druga ogromna łyżka dziegciu. Ten innowacyjny projekt został porzucony w 2013 roku, a nowy zespół dopiero od jakiegoś czasu stara się tchnąć w projekt nowe życie. Jest to niezwykle trudne, ponieważ dokumentacja jest uboga i rozproszona po całej sieci, co praktycznie uniemożliwia wdrożenie tego rozwiązania w korporacjach.

    Phishing Frenzy

    Ta aplikacja tak naprawdę nie została zaprojektowana do testów phishingowych, ale jako pełnoprawne narzędzie do testów penetracyjnych. Jednocześnie posiada ona wiele funkcji, które czynią z niej naprawdę skutecznym rozwiązaniem do przeprowadzania wewnętrznych kampanii phishingowych. Najfajniejszym narzędziem w aplikacji jest możliwość przeglądania statystyk kampanii oraz łatwego zapisywania raportów do plików PDF i XML. Jednocześnie jest to aplikacja oparta o system Linux, a jej instalacja może nastręczyć pewnych trudności nowicjuszom.

    King Phisher

    King Phisher to rozwiązanie open source od firmy Secure State. Produkt jest niezwykle wyrafinowany, a funkcje King Ohishera są naprawdę zajebiste. Narzędzie umożliwia tworzenie wielu kampanii, lokalizacji geograficznej użytkowników, klonowania stron internetowych. Oddzielnym repozytorium jest repozytorium szablonów i tu czeka nas miła niespodzianka. Oprócz typowych szablonów mailingowych repozytorium to zawiera także szablony gotowych stron internetowych. Interfejs użytkownika jest przejrzysty i prosty. Ale rozwiązanie ma także swoje wady. Instalacja i konfiguracja narzędzia nie jest wcale prosta. King Phisher to aplikacja tylko linuksowa i wymaga dodatkowych kroków podczas instalacji. Konfiguracja także nie należy do najprzyjemniejszych.

    SpeedPhish Framework (SPF)

    Kolejne narzędzie zostało napisane w Pythonie przez Adama Comptona. SPF zawiera wiele funkcji, które pozwalają na szybką konfigurację i przeprowadzanie skutecznych ataków. Pozwala także podstawić fałszywą stronę internetową. Do aplikacji dołączone są trzy szablony witryn, ale jest możliwe korzystanie z niestandardowych szablonów. Jeśli posiadamy wiedzę techniczna, to możemy naprawdę dobrze się bawić, używając tego narzędzia. Kampanie phishingowe można przperowadzać przeciwko wielu celom. Jednocześnie jest to także narzędzie do przeprowadzania testów penetracyjnych. Wracając do samego phishingu, narzędzie posiada wiele wspaniałych funkcji, takich jak gromadzenie adresów email, co ma wielkie znaczenie dla każdego, kto wykonuje wewnętrzne testy phishingowe.

    Social Engineering Toolkit (SET)

    Tego narzędzia nie mogło zabraknąć w zestawieniu. SET został zaprojektowany przez firme TrustedSec do przeprowadzania wielu typów różnych ataków socjotechnicznych. Pozwala na przeprowadzanie kampanii spear phishing, masowe wysyłki wiadomości email, a także posiada niektóre zaawansowane funkcje, takie jak dodanie do wiadomości odpowiedniej flagi, czy dodanie listy docelowych adresów email z pliku. SET to narzędzie oparte o język Python i nie posiadające GUI. Przyznaję, że jako narzędzie do testów penetracyjnych, jest bardzo skuteczne, ale już jako narzędzie do symulowania ataków phishingowych jest ograniczone. Nie posiada na przykład żadnych funkcji raportowania ani zarządzania kampaniami.

    SpearPhisher BETA

    To narzędzie nie próbuje nikogo oszukać. Jest to kolejne proste narzędzie opracowane przez TrustedSec i służy do prostego oraz szybkiego generowania wiadomości phishingowych. Tutaj naprawdę położono nacisk na słowo proste, a więc oprogramowanie jest przeznaczone dla osób nietechnicznych. Tak naprawdę jest to program dla systemu Windows, umożliwiający szybkie tworzenie wiadomości phishingowych z dostosowanymi polami From Email, From Name i Subject i zawiera edytor HTML WYSIWYG oraz opcję dołączenia jednego załącznika. Możesz wysłać spreparowaną wiadomość e-mail do kilku odbiorców, dodając adresy e-mail w polach Do, DW i UDW. Program jest w wersji beta od 2013 roku, więc w najbliższej przyszłości prawdopodobnie nie zobaczymy żadnych aktualizacji.

    Źródła: