Home / Hướng dẫn chung / Giới thiệu về Phish Threat và cách giả lập Phish Threat bằng Sophos Central Phần 3

Giới thiệu về Phish Threat và cách giả lập Phish Threat bằng Sophos Central Phần 3

Mục tiêu của bài viết

Tiếp theo bài viết ở phần 2, phần 3 chúng ta sẽ tiến hành cấu hình Phish Threat với kiểu Campaings thứ 3 là Attachment (File đính kèm) trên Sophos Central.
Ngoài ra, các bạn có thể xem lại phần 2 của bài viết tại đây.

Hướng dẫn cấu hình tính năng Phish Threat trên Sophos Central.

Để sử dụng được tính năng Phish Threat trên Sophos Central, đầu tiên chúng ta cần tạo 1 tài khoản Sophos Central.
Để tạo tài khoản Sophos Central, các bạn có thể xem hướng dẫn tại đây.
Sau khi có được tài khoản Sophos Central, đăng nhập vào Sophos Central bằng tài khoản vừa tạo tại link https://central.sophos.com.

Tiếp theo chọn People để thêm user cho việc cấu hình Phish Threat.
Nhấn vào Add > Add User.
Bảng Add User hiện ra, điền vào ô tên FIRST & LAST NAME và điền địa chỉ email vào ô EMAIL ADDRESS.
Lưu ý : địa chỉ email phải là địa chỉ email tên miền, không được sử dụng địa chỉ email công cộng như Gmail,Yahoo…

Tiếp theo để email training gửi đến người dùng không bị cho vào thư mục Spam chúng ta cần phải thêm địa chỉ IP và các domain dùng cho bài training vào mục tin cậy (whilelist) trên Mail Server hoặc các dịch vụ mail như G-Suite, Office 365….
Để lấy được địa chỉ IP đó đăng nhập vào tài khoản Sophos Central nhấn Phish Threat > Setting > Sending domains and IPs.
Lúc này chúng ta sẽ thấy 2 địa chỉ IP và 1 loạt các domain mà Sophos cung cấp cho buổi training.

Tiếp theo chúng ta nhấn MY PRODUCTs > Phish Threat > Campaigns để vào tính năng Phish Threat.
Tại đây để thực hiện training cho người dùng chúng ta cần tạo Campaigns, để tạo Campaigns nhấn New Campaigns.
Chúng ta sẽ đặt tên cho Campaigns và chọn kiểu cho Campaigns.
Campaigns có 4 kiểu:
- Phishing: Kiểu này là để thu hút người dùng nhấn vào một liên kết trong email.
- Credential Harvesting : Thu hút người dùng nhắm mục tiêu để nhập thông tin đăng nhập vào một trang web giả mạo.
- Attachment:Thu hút người dùng nhắm mục tiêu để mở một tệp đính kèm trong một email.
- Training: Ghi danh người dùng mục tiêu vào đào tạo bắt buộc dựa trên các mô đun đào tạo được chọn.
Ở bài viết này chúng ta sẽ giả lập kiểu Attachment Campaings.

Sau khi nhấn New Campaigns chúng ta sẽ nhập tên cho Campaigns là Attachment và chọn kiểu là Attachment và sau đó nhấn Next.

Tiếp theo chúng ta sẽ chọn mẫu tấn công, ở trường hợp này Sophos đã cung cấp cho chúng ta sẵn rất nhiều mẫu tấn công đến từ các trang web nổi tiếng như Amazon,Adobe,Apple… chúng ta chỉ việc chọn 1 trong các kiểu tấn công mà chúng ta muốn.
Ở đây mình sẽ chọn kiểu Car Lights On và sau đó nhấn Next.

Tiếp theo chúng ta kéo chuột xuống dưới sẽ thấy được nội dụng của email mà chúng ta sẽ gửi, chúng ta có thể nhấn vào Edit để chỉnh sẽ nội dung được gửi tới.

Ở đây chúng ta sẽ Edit nội dung xin việc như sau.

Caught Email.

Phần Caught Email này sẽ chứa 1 email với nội dung là “Đây không phải 1 cuộc tấn công thực sự nhưng nó có thể đã xảy ra”.
Trang này sẽ xuất hiện khi người dùng download file đính kèm và bật nó lên, trang hiện ra nhầm mục đích cho người dùng biết là đây là một cuộc training và người dùng đã không vượt qua.
Các bạn có thể chỉnh sửa nội dung của trang bằng cách nhấn vào Edit.

Reminder Email.

Email này dùng để nhắc nhở người khi họ chưa hoàn thành bài training.

Training Landing.

Trang này sẽ hiển thị sau khi người dùng nhấn Go to training ở Caught Email trước đó.
Trang này nhằm thông báo cho người dùng biết rằng họ đã được thêm vào 1 cuộc training.

Sau khi chỉnh sửa phần Customize nhấn Next để đến phần Enroll Users.
Ở phần này chúng ta có thể chỉ định 1 hoặc nhiều User hoặc Group cho việc training.

Nhấn Next để đến phần Review & Schedule, ở phần này bạn có thể thiết lập thời gian để training diễn ra.
Bạn có thể chọn Launch at schedule time để thiết lập thời gian biểu hoặc chọn Launch immediately để việc training diễn ra ngay lập tức sau khi nhấn Done.
Ở phần Sending Increment giúp ta thiết lập việc gửi cuộc training này cho bao nhiêu người trong một khoảng thời gian nhất định.
Ví dụ: nếu bạn chọn Send to all enroll users và at the same time thì cuộc training này sẽ được gửi cho tất cả các người dùng trong cùng 1 thời gian. Nếu bạn chọn Send 5% và chọn Every hour thì cứ mỗi 1 giờ cuộc training sẽ được gửi đến 5% trong tổng số người được chọn ở phần Enroll User phía trên.

Kéo xuống phần Email,Training và Recipients đây là phần giúp cho người dùng kiểm tra lại nội dung email sẽ gửi và phần training đã chọn trước đó cùng với tên người dùng và email của người dùng được chỉ định.
Nhấn Done để hoàn thành.

Lúc này, trên Sophos Central sẽ hiển thị các thông số của cuộc training.
Như hình ta thấy ở Active Campaigns là tên của cuộc training Attachment, kế bên là 1 Emails sent tức là đã có 1 email được gửi đi.
Tiếp theo là 0 Emails opened, phần này sẽ tăng lên khi có người dùng mở email đó.
Ở 0 Users caught, phần này sẽ tăng lên khi người dùng nhấn vào liên kết.
Ở 0 Finished training, phần này sẽ tăng lên khi người dùng hoàn thành cuộc training.

Tiếp theo chúng ta sẽ vào tài khoản email để xem email vừa gửi tới.

Nhấn mở email lên chúng ta sẽ thấy những thông tin như người gửi, địa chỉ email, email subject, nội dung email giống hệt như lúc chúng ta thiết lập trên Sophos Central.

Sau khi mở email, chúng ta quay trở lại trang Sophos Central và reload lại trang chúng sẽ thấy ở phần Email opened sẽ tăng lên 1 do chúng ta đã mở email được gửi đến.

Trở lại với trang email chúng ta sẽ nhấn vào file đính kèm phía dưới download file về máy tính và mở lên.
Lúc này chúng ta nhận được 1 email thông báo từ Sophos rằng chúng ta đã được mời vào cuộc training do đã download và mở file đính kèm.

Nội dung là nôi dung của trang Caught Email mà chúng ta đã thiết lập ở phần Customize.
Trang thông báo cho chúng ta biết “Đây không phải 1 cuộc tấn công thật nhưng nó có thể đã diễn ra” và chúng ta phải xem video training và làm bài test bằng cách nhấn vào Go to training.

Quay trở lại với trang Sophos Central và reload trang, chúng ta sẽ thấy phần Users caught đã tăng lên 1 do người dùng đã mở Caught email.

Quay trở lại với trang thông báo, sau khi nhấn Go to training, trang web sẽ điều hướng đến trang có nội dung là trang Training Landing mà chúng ta đã thiết lập ở phần Customize.
Click Go to training.

Trang web sẽ điều hướng đến 1 khóa học tên là Ransomeware mà chúng ta đã thiết lập trên Sophos Central.
Trang này hiển thị tên khóa học là Ransomeware, nội dung của khóa học và thời gian.
Để tham gia nhấn Start Course, lúc này 1 video có thời gian 4 phút với phụ đề tiếng anh hiện ra và chúng ta phải xem hết video để hướng đến bài Test.

Sau khi xem hết video chúng ta sẽ nhấn Take Quiz để làm bài test.
Chọn đáp án đúng nhất và bấm Complete để hoàn thành training.

Nếu bạn không đạt số điểm yêu cầu để vượt qua bài test, bạn có thể bấm Reset Quiz để làm lại hoặc nhấn Back to Lesson để xem lại video và tìm đáp án.

Lưu ý: Nếu người dùng nhấn Complete mà không đủ điểm để vượt qua training thì trên Sophos Central phầm Finished training vẫn là 0, nó chỉ tăng lên khi người dùng đủ điểm vượt qua bài test.
Sau khi người dùng không đủ điểm vượt qua bài test, chúng ta sẽ quay lại trang Sophos Central, reload trang và thấy rằng phần Finished training vẫn là 0.

Tiếp theo chúng ta sẽ thực hiện bài test đủ điểm để vượt qua nó.

Sau đó quay lại trang Sophos Central, reload và chúng ta sẽ thấy số người Finished training tăng lên 1 tức đã có 1 người hoàn thành training.

Do trong phần traning này chỉ áp dụng cho 1 người dùng nên các thông số đều là 100% và sau khi hoàn thành training nhấn vào tên của cuộc training là Attachment để xem các thống kế về cuộc training và kết quả của nó.