Mục tiêu của bài viết
- Tiếp theo bài viết ở phần 1, phần 2 chúng ta sẽ tiến hành cấu hình Phish Threat với kiểu Campaings thứ 2 là Credential Harvesting (Thu thập thông tin người dùng) trên Sophos Central.
- Ngoài ra, các bạn có thể xem lại phần 1 của bài viết tại đây.
Hướng dẫn cấu hình tính năng Phish Threat
- Để sử dụng được tính năng Phish Threat trên Sophos Central, đầu tiên chúng ta cần tạo 1 tài khoản Sophos Central.
- Để tạo tài khoản Sophos Central, các bạn có thể xem hướng dẫn tại đây.
- Sau khi có được tài khoản Sophos Central, đăng nhập vào Sophos Central bằng tài khoản vừa tạo tại link https://central.sophos.com
- Tiếp theo chọn People để thêm user cho việc cấu hình Phish Threat.
- Nhấn vào Add > Add User.
- Bảng Add User hiện ra, điền vào ô tên FIRST & LAST NAME và điền địa chỉ email vào ô EMAIL ADDRESS.
- Lưu ý : địa chỉ email phải là địa chỉ email tên miền, không được sử dụng địa chỉ email công cộng như Gmail,Yahoo…
- Tiếp theo để email training gửi đến người dùng không bị cho vào thư mục Spam chúng ta cần phải thêm địa chỉ IP và các domain dùng cho bài training vào mục tin cậy (whilelist) trên Mail Server hoặc các dịch vụ mail như G-Suite, Office 365….
- Để lấy được địa chỉ IP đó đăng nhập vào tài khoản Sophos Central nhấn Phish Threat > Setting > Sending domains and IPs.
- Lúc này chúng ta sẽ thấy 2 địa chỉ IP và 1 loạt các domain mà Sophos cung cấp cho buổi training.
- Tiếp theo chúng ta nhấn MY PRODUCTs > Phish Threat > Campaigns để vào tính năng Phish Threat.
- Tại đây để thực hiện training cho người dùng chúng ta cần tạo Campaigns, để tạo Campaigns nhấn New Campaigns.
- Chúng ta sẽ đặt tên cho Campaigns và chọn kiểu cho Campaigns.
- Campaigns có 4 kiểu:
- Phishing: Kiểu này là để thu hút người dùng nhấn vào một liên kết trong email.
- Credential Harvesting : Thu hút người dùng nhắm mục tiêu để nhập thông tin đăng nhập vào một trang web giả mạo.
- Attachment:Thu hút người dùng nhắm mục tiêu để mở một tệp đính kèm trong một email.
- Training: Ghi danh người dùng mục tiêu vào đào tạo bắt buộc dựa trên các mô đun đào tạo được chọn.
- Ở bài viết này chúng ta sẽ giả lập kiểu Credential Harvesting Campaings.
Hướng dẫn cấu hình
- Sau khi nhấn New Campaigns chúng ta sẽ nhập tên cho Campaigns là Credential Harvesting và chọn kiểu là Credential Harvesting và sau đó nhấn Next.
- Tiếp theo chúng ta sẽ chọn mẫu tấn công, ở trường hợp này Sophos đã cung cấp cho chúng ta sẵn rất nhiều mẫu tấn công đến từ các trang web nổi tiếng như Amazon,Adobe,Apple… chúng ta chỉ việc chọn 1 trong các kiểu tấn công mà chúng ta muốn.
- Ở đây mình sẽ chọn kiểu là Email Account Verification và sau đó nhấn Next.
- Tiếp theo chúng ta sẽ chọn kiểu Training cho người dùng, ở đây Sophos cũng cung cấp sẵn các kiểu training về các mối nguy từ internet như Ransomeware, Keyloggers, Macro Malware… .
- Chúng ta có thể chọn tối đa 5 kiểu training cho 1 Campaigns và những kiểu training đó sẽ được random khi gửi đến người dùng.
- Ở đây mình sẽ chọn kiểu training Credential Harvesting và sau đó click Next.
- Tiếp theo là phần Customize, phần này giúp chúng ta có thể chỉnh sửa các nội dung của Attack Email, Reminders Email,Caught Landing,Training Landing.
- Phần này gồm có 4 phần là Attack Email, Reminder Email, Caught Landing, Training Landing.
Attack Email.
- Trong phần Attack Email này, khi chúng ta nhấn vào chúng ta sẽ thấy đã có sẵn các thông tin như Name, Email, Email Subject.Chúng ta có thể thay đổi nếu muốn.
- Ở phần này chúng ta sẽ giả lập thành 1 trưởng phòng IT gửi email thông báo cho tất cả nhân viên về việc làm mới tài khoản trong cơ sở dữ liệu của công ty theo lịch biểu và yêu cầu nhân viên đăng nhập vào tài khoản bằng link để xác minh tài khoản.
- Ở phần From Name chúng ta sẽ đặt là Nguyễn Văn Phú.
- Ở phần From Mail chúng ta sẽ đặt là phu.nv123@helpdesk-tech.com.
- Ngoài ra chúng ta có thể sử dụng sub-domain bằng cách tích vào ô use a sub-domain on phishing URL replacements và điền vào ô là Sophos, lúc này tài khoản gửi mail sẽ là phu.nv123@sophos.helpdesk-tech.com.
- Email Subject sẽ là [Phòng IT] Yêu cầu đăng nhập tài khoản để xác thực.
- Tiếp theo chúng ta kéo chuột xuống dưới sẽ thấy được nội dụng của email mà chúng ta sẽ gửi, chúng ta có thể nhấn vào Edit để chỉnh sẽ nội dung được gửi tới.
- Nội dung được chỉnh sửa như sau:
Attack Landing.
- Đây là trang sẽ được hiển thị sau khi người dùng nhấn vào link.
Reminder Email.
Caught Landing.
- Phần Caught Landing này sẽ chứa 1 trang với nội dung là “Đây không phải 1 cuộc tấn công thực sự nhưng nó có thể đã xảy ra”.
- Trang này sẽ xuất hiện khi người dùng mở email và nhấn vào liên kết, trang hiện ra nhầm mục đích cho người dùng biết là đây là một cuộc training và người dùng đã không vượt nên sẽ phải làm bài test.
- Các bạn có thể chỉnh sửa nội dung của trang bằng cách nhấn vào Edit.
Training Landing.
- Đây là trang thông báo chúng ta đã được mời vào cuộc tranining.
- Sau khi chỉnh sửa phần Customize nhấn Next để đến phần Enroll Users.
- Ở phần này chúng ta có thể chỉ định 1 hoặc nhiều User hoặc Group cho việc training.
- Nhấn Next để đến phần Review & Schedule, ở phần này bạn có thể thiết lập thời gian để training diễn ra.
- Bạn có thể chọn Launch at schedule time để thiết lập thời gian biểu hoặc chọn Launch immediately để việc training diễn ra ngay lập tức sau khi nhấn Done.
- Ở phần Sending Increment giúp ta thiết lập việc gửi cuộc training này cho bao nhiêu người trong một khoảng thời gian nhất định.
- Ví dụ: nếu bạn chọn Send to all enroll users và at the same time thì cuộc training này sẽ được gửi cho tất cả các người dùng trong cùng 1 thời gian. Nếu bạn chọn Send 5% và chọn Every hour thì cứ mỗi 1 giờ cuộc training sẽ được gửi đến 5% trong tổng số người được chọn ở phần Enroll User phía trên.
- Kéo xuống phần Email,Training và Recipients đây là phần giúp cho người dùng kiểm tra lại nội dung email sẽ gửi và phần training đã chọn trước đó cùng với tên người dùng và email của người dùng được chỉ định.
- Nhấn Done để hoàn thành.
- Lúc này, trên Sophos Central sẽ hiển thị các thông số của cuộc training.
- Như hình ta thấy ở Active Campaigns là tên của cuộc training Credential Harvesting, kế bên là 1 Emails sent tức là đã có 1 email được gửi đi.
- Tiếp theo là 0 Emails opened, phần này sẽ tăng lên khi có người dùng mở email đó.
- Ở 0 Users caught, phần này sẽ tăng lên khi người dùng nhấn vào liên kết.
- Ở 0 Finished training, phần này sẽ tăng lên khi người dùng hoàn thành cuộc training.
- Tiếp theo chúng ta sẽ vào tài khoản email để xem email vừa gửi tới.
- Nhấn mở email lên chúng ta sẽ thấy những thông tin như người gửi, địa chỉ email, email subject, nội dung email là thông báo yêu cầu đăng nhập lại tài khoản từ phòng IT giống hệt như lúc chúng ta thiết lập trên Sophos Central.
- Sau khi mở email, chúng ta quay trở lại trang Sophos Central và reload lại trang chúng sẽ thấy ở phần Email opened sẽ tăng lên 1 do chúng ta đã mở email được gửi đến.
- Trở lại với trang email chúng ta sẽ nhấn vào link đăng nhập thì trang Attack Landing hiện ra và chúng ta sẽ điền Tài khoản và Mật khẩu vào và nhấn Log In.
- Sau khi nhập Tài khoản và Mật khẩu và nhấn Log In, trình duyệt sẽ điều hướng về trang có nội dung y hệt như trang Caught Landing mà chúng ta đã thiết lập phía trên.
- Trang thông báo cho chúng ta biết “Đây không phải 1 cuộc tấn công thật nhưng nó có thể đã diễn ra” và chúng ta phải xem video training và làm bài test bằng cách nhấn vào Go to training.
- Quay trở lại với trang Sophos Central và reload trang, chúng ta sẽ thấy phần Caught landing đã tăng lên 1 do người dùng đã nhấn vào liên kết.
- Quay trở lại với trang thông báo, sau khi nhấn Go to training, trang web sẽ điều hướng đến 1 khóa học tên là Credential Harvesting mà chúng ta đã thiết lập trên Sophos Central.
- Trang này hiển thị tên khóa học là Credential Harvesting, nội dung của khóa học và thời gian.
- Để tham gia nhấn Start Course, lúc này 1 bài test sẽ hiện ra 1 bài training gồm các câu hỏi và giải thích để cung cấp cho chúng ta thêm thông tin để làm bài test.
- Đây là các câu hỏi của bài training.
- Nếu trả lời đúng sẽ có dấu tích màu xanh.
- Hoàn thành các phần còn lại.
- Sau khi hoàn thành bài training chúng ta sẽ nhấn Take Quiz để làm bài test.
- Chọn đáp án đúng nhất trong từng câu và bấm Complete Quiz để hoàn thành training.
- Điểm vượt qua bài test là 80% nếu bạn không đạt số điểm yêu cầu để vượt qua bài test, bạn có thể bấm Reset Quiz để làm lại hoặc nhấn Back to Lesson để xem lại bài training và tìm đáp án.
- Lưu ý: Nếu người dùng nhấn Complete mà không đủ điểm để vượt qua training thì trên Sophos Central phầm Finished training vẫn là 0, nó chỉ tăng lên khi người dùng đủ điểm vượt qua bài test.
- Sau khi người dùng không đủ điểm vượt qua bài test, chúng ta sẽ quay lại trang Sophos Central, reload trang và thấy rằng phần Finished training vẫn là 0.
- Tiếp theo chúng ta sẽ thực hiện bài test đủ điểm để vượt qua nó.
- Sau đó quay lại trang Sophos Central, reload và chúng ta sẽ thấy số người Finished training tăng lên 1 tức đã có 1 người hoàn thành training.
- Do trong phần traning này chỉ áp dụng cho 1 người dùng nên các thông số đều là 100% và sau khi hoàn thành training nhấn vào tên của cuộc training là Phishing để xem các thống kế về cuộc training và kết quả của nó.
- Cuối cùng để kết thúc training nhấn vào End Campaign.