Home / Hướng dẫn chung / Giới thiệu về Phish Threat và cách giả lập Phish Threat bằng Sophos Central Phần 1

Giới thiệu về Phish Threat và cách giả lập Phish Threat bằng Sophos Central Phần 1

Mục tiêu bài viết

Ở phần 1 của bài viết này sẽ giới thiệu cho chúng ta biết Phish Threat là gì? Cách phòng chống tấn công Phish Threat và giới thiệu về tính năng Phish Threat có trên Sophos Central.
Ngoài ra, bài viết sẽ hướng dẫn cấu hình tính năng Phish Threat với kiểu Campaings Phishing trên Sophos Central.

1.Phish Threat là gì?

Phish Threat là một hình thức tấn công để có được những thông tin nhạy cảm của người dùng username, password, credit card,… hoặc lây lan virus mã hóa tống tiền (ransomeware) bằng cách gửi các email cho người dùng có chứa đường dẫn, tập tin có chứa virus hoặc 1 thông báo giả mạo đến từ các ông lớn nổi tiếng như Facebook, Amazon, Google … khi người dùng nhấn vào thông báo, sẽ xuất hiện 1 trang web y hệt gần như 100% làm cho người dùng chủ quan và dễ dàng nhập thông tin của mình vào trang web giả mạo đó.
Ví dụ đơn giản : Bạn nhận được 1 email thông báo rằng 1 người trên Facebook đã gửi yêu cầu kết bạn. Do bạn thấy đây là thông báo của Facebook nên đã chủ quan nhấn vào để xác nhận kết bạn, lúc này 1 trang web y hệt như Facebook hiện lên yêu cầu bạn điền Username và Password vào thế là bạn điền vào mà không chút bận tậm và thông tin tài khoản của bạn đã bị gửi về cho Hacker.

2.Cách phòng chống Phish Threat.

Sử dụng trình quản lý mật khẩu chỉ tự động điền thông tin đăng nhập trên các tên miền hợp pháp, giúp bạn tránh cung cấp thông tin đăng nhập cho các trang web giả mạo.
Cho phép xác thực hai yếu tố, bất cứ nơi nào có sẵn, ngăn chặn tin tặc truy cập vào tài khoản trực tuyến của bạn ngay cả khi chúng bằng cách nào đó đánh cắp thông tin đăng nhập của bạn.
Người dùng cần tự hỏi “Tại sao tôi được yêu cầu đăng nhập” hoặc “Tôi chưa đăng nhập vào đây” hoặc “Tôi chưa đăng nhập vào đây” khi tin tặc cố gắng bắt chước các cổng đăng nhập của các trang web phổ biến mà bạn hay sử dụng.
Để người dùng có thể tự hỏi những câu hỏi như trên, việc nâng cao khả năng cảnh giác của người dùng đối với các kiểu tấn công giả mạo là rất quan trọng.
Chúng ta cần phải có những cuộc training nội bộ giả lập các cuộc tấn công dành cho người dùng trong công ty để giúp họ hiểu hơn về các cuộc tấn công giả mạo này và cảnh giác hơn.

3.Giới thiệu về tính năng Phish Threat của Sophos Central.

Như đã nói ở trên, để giúp người dùng nâng cao khả năng cảnh giác với các kiểu tấn công giả mạo chúng ta cần phải giả lập các cuộc tấn công đó trong nội bộ và tính năng Phish Threat của Sophos Central sẽ cung cấp cho chúng ta rất nhiều kiểu tấn công như thế.
Sophos Central sẽ cung cấp các kiểu giả lập tấn công như sau:
- Phishing : Kiểu tấn công này sẽ gửi cho người dùng 1 đường dẫn và khi người dùng nhấn vào sẽ hiện ra thông báo “Đây là cuộc tấn công giả nhưng bạn đã nhấn vào” và sẽ hiện 1 video training cho người dùng xem và sau khi xem xong người dùng sẽ phải làm 1 bài test.
- Credential Harvesting : Kiểu tấn công này sẽ gửi cho người dùng 1 yêu cầu như yêu cầu kết bạn từ Facebook hoặc 1 thông báo cần thay đổi mật khẩu Google… khi người dùng nhấn vào 1 trang web y hệt như Facebook, Google … hiện ra yêu cầu người dùng nhập thông tin đăng nhập. Sau khi điền và đăng nhập thì sẽ hiện ra thông báo như trên và người dùng sẽ phải xem video và làm bài test.
- Attachment : Kiểu tấn công này sẽ gửi cho người dùng 1 email với tập tin đính kèm như file chúc mừng giáng sinh hoặc hóa đơn điện tử, khi mở file đính kèm thì cũng sẽ hiện ra thông báo và phải xem video và làm bài test.
- Training: Kiểu campaings này dùng để ghi danh người dùng vào 1 bài training công khai.

4.Hướng dẫn cấu hình tính năng Phish Threat trên Sophos Central.

Để sử dụng được tính năng Phish Threat trên Sophos Central, đầu tiên chúng ta cần tạo 1 tài khoản Sophos Central.
Để tạo tài khoản Sophos Central, các bạn có thể xem hướng dẫn tại đây.
Sau khi có được tài khoản Sophos Central, đăng nhập vào Sophos Central bằng tài khoản vừa tạo tại link https://central.sophos.com.

Tiếp theo chọn People để thêm user cho việc cấu hình Phish Threat.
Nhấn vào Add > Add User.
Bảng Add User hiện ra, điền vào ô tên FIRST & LAST NAME và điền địa chỉ email vào ô EMAIL ADDRESS.
Lưu ý : địa chỉ email phải là địa chỉ email tên miền, không được sử dụng địa chỉ email công cộng như Gmail,Yahoo…

Tiếp theo để email training gửi đến người dùng không bị cho vào thư mục Spam chúng ta cần phải thêm địa chỉ IP và các domain dùng cho bài training vào mục tin cậy (whilelist) trên Mail Server hoặc các dịch vụ mail như G-Suite, Office 365….
Để lấy được địa chỉ IP đó đăng nhập vào tài khoản Sophos Central nhấn Phish Threat > Setting > Sending domains and IPs.
Lúc này chúng ta sẽ thấy 2 địa chỉ IP và 1 loạt các domain mà Sophos cung cấp cho buổi training.

Tiếp theo chúng ta nhấn MY PRODUCTs > Phish Threat > Campaigns để vào tính năng Phish Threat.
Tại đây để thực hiện training cho người dùng chúng ta cần tạo Campaigns, để tạo Campaigns nhấn New Campaigns.
Chúng ta sẽ đặt tên cho Campaigns và chọn kiểu cho Campaigns.
Campaigns có 4 kiểu:
- Phishing: Kiểu này là để thu hút người dùng nhấn vào một liên kết trong email.
- Credential Harvesting : Thu hút người dùng nhắm mục tiêu để nhập thông tin đăng nhập vào một trang web giả mạo.
- Attachment:Thu hút người dùng nhắm mục tiêu để mở một tệp đính kèm trong một email.
- Training: Ghi danh người dùng mục tiêu vào đào tạo bắt buộc dựa trên các mô đun đào tạo được chọn.
Chúng ta sẽ thực hiện giả lập từng kiểu Campaigns để xem nó hoạt động như thế nào.
Ở phần 1 của bài viết chúng ta sẽ giả lập kiểu Phishing Campaings.

Hướng dẫn cấu hình

Sau khi nhấn New Campaigns chúng ta sẽ nhập tên cho Campaigns là Phishing và chọn kiểu là Phising và sau đó nhấn Next.

Tiếp theo chúng ta sẽ chọn mẫu tấn công, ở trường hợp này Sophos đã cung cấp cho chúng ta sẵn rất nhiều mẫu tấn công đến từ các trang web nổi tiếng như Amazon,Adobe,Apple… chúng ta chỉ việc chọn 1 trong các kiểu tấn công mà chúng ta muốn.
Ở đây mình sẽ chọn kiểu đầu tiên là Delayed W2 Delivery và sau đó nhấn Next.

Tiếp theo chúng ta sẽ chọn kiểu Training cho người dùng, ở đây Sophos cũng cung cấp sẵn các kiểu training về các mối nguy từ internet như Ransomeware, Keyloggers, Macro Malware… , những kiểu training này sẽ gồm 1 video clip với phụ đề tiếng anh và có ghi thời gian của video.
Chúng ta có thể chọn tối đa 5 kiểu training cho 1 Campaigns và những kiểu training đó sẽ được random khi gửi đến người dùng.
Ở đây mình sẽ chọn kiểu training Ransomeware và sau đó click Next.

Tiếp theo là phần Customize, phần này giúp chúng ta có thể chỉnh sửa các nội dung của Attack Email, Reminders Email,Caught Landing,Training Landing.
Phần này gồm có 4 phần là Attack Email, Reminder Email, Caught Landing, Training Landing.

Attack Email.

Trong phần Attack Email này, khi chúng ta nhấn vào chúng ta sẽ thấy đã có sẵn các thông tin như Name, Email, Email Subject.Chúng ta có thể thay đổi nếu muốn.
Ở phần này chúng ta sẽ chỉnh sửa nội dung của email thành 1 email từ bộ phận IT gửi đến cho nhân viên với yêu cầu cài đặt phần mềm mới kèm theo link download.
Ở phần From Name sẽ đặt là Nguyễn Văn Phú.
Ở phần From Email sẽ đặt là phu.nv123@it-supportdesk.com.
Ngoài ra chúng ta có thể sử dụng sub-domain, để sử dụng tích vào ô use a sub-domain on phishing URL replacement và nhập vào ô ‘sophos’ lúc này địa chỉ email sẽ là phu.nv123@sophos.it-supportdesk.com.
Ở phần Email Subject chúng ta sẽ đặt là [Phòng IT] Yêu cầu cài đặt phần mềm.

Tiếp theo chúng ta kéo chuột xuống dưới sẽ thấy được nội dụng của email mà chúng ta sẽ gửi, chúng ta có thể nhấn vào Edit để chỉnh sẽ nội dung được gửi tới.

Chúng ta sẽ chỉnh sửa nội dung email thành nội dung yêu cầu cài đặt phần mềm từ phòng IT như sau.

Reminder Email.

Đây là email nhắc nhở chúng ta khi chúng ta chưa hoàn thành bài test quá lâu.

Caught Landing.

Phần Caught Landing này sẽ chứa 1 trang với nội dung là “Đây không phải 1 cuộc tấn công thực sự nhưng nó có thể đã xảy ra”.
Trang này sẽ xuất hiện khi người dùng mở email và nhấn vào liên kết, trang hiện ra nhầm mục đích cho người dùng biết là đây là một cuộc training và người dùng đã không vượt nên nên sẽ phải xem 1 video training và làm bài test.
Các bạn có thể chỉnh sửa nội dung của trang bằng cách nhấn vào Edit.

Training Landing.

Đây là thông báo chúng ta được thêm vào cuộc training.

Sau khi chỉnh sửa phần Customize nhấn Next để đến phần Enroll Users.
Ở phần này chúng ta có thể chỉ định 1 hoặc nhiều User hoặc Group cho việc training.

Nhấn Next để đến phần Review & Schedule, ở phần này bạn có thể thiết lập thời gian để training diễn ra.
Bạn có thể chọn Launch at schedule time để thiết lập thời gian biểu hoặc chọn Launch immediately để việc training diễn ra ngay lập tức sau khi nhấn Done.
Ở phần Sending Increment giúp ta thiết lập việc gửi cuộc training này cho bao nhiêu người trong một khoảng thời gian nhất định.
Ví dụ: nếu bạn chọn Send to all enroll users và at the same time thì cuộc training này sẽ được gửi cho tất cả các người dùng trong cùng 1 thời gian. Nếu bạn chọn Send 5% và chọn Every hour thì cứ mỗi 1 giờ cuộc training sẽ được gửi đến 5% trong tổng số người được chọn ở phần Enroll User phía trên.

Kéo xuống phần Email,Training và Recipients đây là phần giúp cho người dùng kiểm tra lại nội dung email sẽ gửi và phần training đã chọn trước đó cùng với tên người dùng và email của người dùng được chỉ định.
Nhấn Done để hoàn thành.

Lúc này, trên Sophos Central sẽ hiển thị các thông số của cuộc training.
Như hình ta thấy ở Active Campaigns là tên của cuộc training Phishing, kế bên là 1 Emails sent tức là đã có 1 email được gửi đi.
Tiếp theo là 0 Emails opened, phần này sẽ tăng lên khi có người dùng mở email đó.
Ở 0 Users caught, phần này sẽ tăng lên khi người dùng nhấn vào liên kết.
Ở 0 Finished training, phần này sẽ tăng lên khi người dùng hoàn thành cuộc training.

Tiếp theo chúng ta sẽ vào tài khoản email để xem email vừa gửi tới.

Nhấn mở email lên chúng ta sẽ thấy những thông tin như người gửi, địa chỉ email, email subject, nội dung email giống hệt như lúc chúng ta thiết lập trên Sophos Central.

Sau khi mở email, chúng ta quay trở lại trang Sophos Central và reload lại trang chúng sẽ thấy ở phần Email opened sẽ tăng lên 1 do chúng ta đã mở email được gửi đến.

Trở lại với trang email chúng ta sẽ nhấn vào liên kết ở chữ ‘here’ màu xanh dương 1 trang mới hiện ra với nội dung y hệt như trang Caught Landing lúc chúng ta thiết lập.
Trang thông báo cho chúng ta biết “Đây không phải 1 cuộc tấn công thật nhưng nó có thể đã diễn ra” và chúng ta phải xem video training và làm bài test bằng cách nhấn vào Go to training.

Quay trở lại với trang Sophos Central và reload trang, chúng ta sẽ thấy phần Users caught đã tăng lên 1 do người dùng đã nhấn vào liên kết.

Quay trở lại với trang thông báo, sau khi nhấn Go to training, trang web sẽ điều hướng đến 1 khóa học tên là Ransomeware mà chúng ta đã thiết lập trên Sophos Central.
Trang này hiển thị tên khóa học là Ransomeware, nội dung của khóa học và thời gian.
Để tham gia nhấn Start Course, lúc này 1 video có thời gian 4 phút với phụ đề tiếng anh hiện ra và chúng ta phải xem hết video để hướng đến bài Test.

Sau khi xem hết video chúng ta sẽ nhấn Take Quiz để làm bài test.
Chọn đáp án đúng nhất và bấm Complete để hoàn thành training.

Nếu bạn không đạt số điểm yêu cầu để vượt qua bài test, bạn có thể bấm Reset Quiz để làm lại hoặc nhấn Back to Lesson để xem lại video và tìm đáp án.

Lưu ý: Nếu người dùng nhấn Complete mà không đủ điểm để vượt qua training thì trên Sophos Central phầm Finished training vẫn là 0, nó chỉ tăng lên khi người dùng đủ điểm vượt qua bài test.
Sau khi người dùng không đủ điểm vượt qua bài test, chúng ta sẽ quay lại trang Sophos Central, reload trang và thấy rằng phần Finished training vẫn là 0.

Tiếp theo chúng ta sẽ thực hiện bài test đủ điểm để vượt qua nó.

Sau đó quay lại trang Sophos Central, reload và chúng ta sẽ thấy số người Finished training tăng lên 1 tức đã có 1 người hoàn thành training.

Do trong phần traning này chỉ áp dụng cho 1 người dùng nên các thông số đều là 100% và sau khi hoàn thành training nhấn vào tên của cuộc training là Phishing để xem các thống kế về cuộc training và kết quả của nó.