Testy socjotechniczne – Gophish-NG!

Czym jest program Gophish?

Gophish to jeden z najpopularniejszych open-source’owych frameworków do prowadzenia symulowanych kampanii phishingowych używany przez zespoły red team i pentesterów do testowania odporności pracowników na ataki socjotechniczne. To solidna podstawa, ale po kilkunastu realnych projektach szybko widać jego ograniczenia. Dlatego powstał Gophish-NG – fork rozszerzający oryginał o funkcje, które w praktyce robią różnicę którą mam nadzieję doceni każdy z korzystających. Z narzędziem Gophish-NG możecie zapoznać się tutaj: https://github.com/OppressionBreedsResistance/gophish-ng

Klasyczny Dashboard Gophisha z podstawowymi funkcjonalnościami

Czego brakowało w oryginale?

Standardowy Gophish ma kilka cech, które w środowisku produkcyjnym (czyli podczas realnej, autoryzowanej kampanii u klienta) okazują się problemem:

  • Łatwa detekcja — domyślne nagłówki (X-Gophish-*), parametr rid w URL czy domyślna strona 404 to gotowe sygnatury, po których filtry pocztowe i blue team natychmiast rozpoznają narzędzie. To zaniża wyniki testu, bo część maili jest blokowana zanim pracownik w ogóle je zobaczy. O ile można je usuwać każdorazowo ręcznie, co pokazałem we wcześniejszych wpisach, można od razu usunąć IOC z „bazy” programu.
  • Jeden kanał ataku — realni atakujący coraz częściej łączą e-mail z SMS-em (smishing). Kampania ograniczona tylko do maila nie odzwierciedla pełnego obrazu zagrożenia.
  • Statystyki zaburzane przez boty — skanery bezpieczeństwa i crawlery automatycznie klikają w linki, podbijając „click rate” i fałszując wyniki.
  • Skomplikowane wdrożenie infrastruktury — postawienie serwera z certyfikatami SSL, reverse proxy i odpowiednią konfiguracją za każdym razem od zera zajmuje czas, którego w projektach często brakuje.
  • Mało realistyczne payloady — gotowe szablony załączników nie zawsze odpowiadają temu, co rzeczywiście trafia do skrzynek ofiar w prawdziwych atakach.

Celem Gophish-NG było więc jedno: zrobić narzędzie bardziej realistyczne i trudniejsze do wykrycia, dzięki czemu wyniki kampanii lepiej odzwierciedlają faktyczną podatność organizacji, a jednocześnie ułatwić jego wdrożenie i obsługę.

Jakie zmiany w Gophish-NG?

Usunięcie wskaźników IOC (Indicators of Compromise)

Zmieniliśmy wszystkie charakterystyczne dla Gophisha nagłówki i parametry (X-Gophish-ContactX-Contact, X-Gophish-SignatureX-Signature, parametr ridkeyname, usunięty X-Mailer, własna strona 404). Efekt: maile częściej trafiają do skrzynek odbiorców.

Obsługa szablonów w załącznikach (.ps1, .bat, .pdf, .zip)

Pliki PowerShell, batch i PDF mogą teraz zawierać placeholdery ({{.URL}}, {{.FirstName}} itd.), tak samo jak HTML. Obsługiwane są też archiwa ZIP, w tym chronione hasłem (ZipCrypto), które są personalizowane „w locie” dla każdego odbiorcy.

Fragment kodu odpowiedzialnego za obsługę nowych rozszerzeń

Śledzenie uruchomienia załącznika (Clicked Attachment)

Nowy typ zdarzenia pokazuje, czy pracownik faktycznie uruchomił dostarczony plik. To kluczowa metryka przy testach świadomości dotyczących złośliwych załączników. Poprzednio śledzenie otwarcia załacznika było realizowane w formie śledzenia otwarcia linku, nie było natywnego rozwiązania które śledziłoby oba te zdarzenia.

Śledzenie nowego zdarzenia

Hosted Attachments

Załącznik nie jest wysyłany mailem, tylko hostowany na serwerze phishingowym i pobierany po kliknięciu w link. Omija to skanery antywirusowe na bramkach pocztowych. Wygodna opcja dla niektórych scenariuszy.

Hostowanie załączników przez Gophisha

Placeholder z kodem QR ({{.QR}})

Umożliwia testowanie tzw. quishingu — ataków opartych na kodach QR, które stają się coraz popularniejsze (szczególnie omijają skanowanie linków po stronie poczty firmowej).

Nowy placeholder dla kodów QR

Ochrona przed botami (Cloudflare Turnstile)

Opcjonalna warstwa weryfikacji przed dostępem do strony lądowania i załączników. Dzięki temu statystyki kliknięć dotyczą realnych ludzi, a nie skanerów bezpieczeństwa. Rozwiązuje to problem żmudnego filtrowania realnych otwarć załączników czy linków przez ludzi.

Jak zainstalować Gophisha?

Teraz to prostsze. Skrypt setup_vps.sh automatyzuje cały deployment na VPS: instalację, certyfikaty Let’s Encrypt, reverse proxy nginx, usługę systemd i odnawianie certyfikatów. Skraca czas przygotowania infrastruktury z godzin do minut.

Ulepszone wyniki kampanii

Nowy status „Clicked Attachment” w tabeli wyników i na wykresie daje pełniejszy obraz zachowań użytkowników.

Wsparcie dla smishingu (SMS)

Najnowsza zmiana: kampanie można teraz oznaczyć jako typu SMS. Grupy odbiorców zyskują pole z numerem telefonu, a dla kampanii SMS worker nie wysyła maili. zamiast tego generowany jest CSV z numerami telefonów i unikalnymi linkami trackingowymi dla każdej osoby, gotowy do użycia z dowolną bramką SMS.

Podsumowanie

Gophish-NG nie zmienia filozofii Gophisha, to wciąż ten sam, sprawdzony silnik do śledzenia zachowań ludzi w symulowanych atakach. Różnica polega na tym, że dzięki usunięciu charakterystycznych sygnatur, wsparciu dla realistycznych wektorów (załączniki z payloadami, QR, SMS) i automatyzacji wdrożenia, kampanie uświadamiające stają się bliższe rzeczywistym atakom, a przez to ich wyniki są bardziej wiarygodne i lepiej pokazują, gdzie organizacja faktycznie potrzebuje szkoleń.

Jak zawsze: narzędzie to ma sens wyłącznie w ramach autoryzowanych, zgodnych z prawem kampanii prowadzonych za pisemną zgodą organizacji.

Kurs testów socjotechnicznych z Gophishem

Jeśli ktoś potrzebuje pomocy ze skonfigurowaniem Gophisha, przygotowaniem kampanii lub szerzej – z podstawami testów socjotechnicznych to zapraszam do zapoznania się z ofertą kursu, który przygotowałem na tą okoliczność: https://akademia.redacademy.pl/product/zaawansowany-phishing-z-gophishem/

Dodaj komentarz


The reCAPTCHA verification period has expired. Please reload the page.