セキュリティ志向のプログラマー、ジョーダン・ライト氏は、企業がフィッシング攻撃を防御するのに役立つ、有能で洗練されたオープンソースフレームワークを公開しました。
このフィッシング対策ツールは、64 ビットおよび 32 ビットの Windows、Mac、Linux で実行され、IT 企業は、どの従業員が騙されたかを追跡するために、従業員に無害なフィッシング メールを送信することができます。
偽のフィッシングは効果的で実績のあるメカニズムであり、Target、Home Depot、RSA、ICANN などの企業が攻撃ベクトルと戦うのを支援するために PhishMe などの企業が登場しています。
現存するほぼすべての攻撃グループは、メールに添付されたリンクや添付ファイルを使って従業員を騙すことに頼っています。経営幹部を騙して攻撃者に送金させるフィッシングの一種であるビジネスメール詐欺は、FBIの推定によると、2013年以降、米国だけで7億4,000万ドルの被害をもたらしています。
フィッシュを目指せ。
Twitter は社内フィッシング キャンペーンを公表した最大手の企業のひとつであり、全社的な受容と成熟したフィードバック ループのおかげで、露出度は大幅に低下しました。
優れたフィッシング対策プログラムは、罠を回避した人には報酬が与えられ、回避できた人には巧妙で簡単な教育メモが提供されるので、スタッフにとって楽しいものとなるように設計する必要があります。
スタッフがより明白な模擬攻撃を見抜く能力を身につけるにつれ、フィッシング詐欺メールはますます本物らしく見えるようになるはずです。
「Gophishは、現実世界のフィッシング攻撃のシミュレーションを非常に簡単にするフィッシングフレームワークです」とライト氏は述べ、このプラットフォームは誰でも利用できる業界レベルのフィッシングトレーニングであると説明しています。
これにより、管理者はキャンペーンを追跡し、テンプレートを使用し、フィッシング メールに挿入された資格情報を取得できるようになります。
このプラットフォームはGo言語で書かれており、GitHubに投稿されており、執筆時点で300件以上のコミットが行われています。他のフィッシング対策プラットフォームとは異なり、クラウドではなくオンプレミスでホストされています。「フィッシングのシミュレーションやトレーニングを提供する商用製品は数多くありますが、残念ながらこれらはSaaSソリューションであり、データを第三者に引き渡す必要があります」とGoFishチームは述べています。
Simple Phishing Toolkit は、ペイロードを送信する機能があり侵入テスターに適した、より高機能で高度な Social-Engineer Toolkit とともに確立されたオープンソースのフィッシング プラットフォームです。
ライト氏は、Gophish は使いやすさにおいて他のツールとは異なっており、将来的にはこれを高度なツールキットと統合したいと考えていると付け加えた。
今のところ、彼のチームはソフトウェアを定期的にメンテナンスすることを約束しています。®
