[ad_1]

Une nouvelle boîte à outils open source rend ridiculement simple la configuration de sites Web et de leurres de phishing. Le logiciel a été conçu pour aider les entreprises à tester la sensibilisation à l’hameçonnage de leurs employés, mais comme avec la plupart des outils de sécurité, celui-ci pourrait être abusé par des malfaiteurs pour lancer des attaques malveillantes.

Page d’administration de Simple Phishing Toolkit

le Boîte à outils d’hameçonnage simple comprend un grattoir de site qui peut cloner n’importe quelle page Web – comme une page de connexion Intranet ou Webmail d’entreprise – en un seul clic, et est livré avec un créateur de leurre de phishing facile à utiliser.

Un package de formation est fourni avec la boîte à outils qui permet aux administrateurs d’enregistrer diverses mesures sur la façon dont les destinataires répondent, comme si un lien a été cliqué, la date et l’heure auxquelles le lien a été suivi, ainsi que l’adresse Internet, le navigateur et le système d’exploitation de l’utilisateur. Des listes de cibles susceptibles de recevoir le leurre de phishing peuvent être chargées dans la boîte à outils via un fichier tableur.

Les créateurs du logiciel, deux administrateurs système de longue date qui ont demandé à être identifiés uniquement par leur prénom afin de ne pas compromettre leur travail quotidien, affirment l’avoir créé pour aider les entreprises à sensibiliser les employés aux dangers des escroqueries par hameçonnage.

« Tout le concept de ce projet a commencé par la discussion suivante : » Hé, ce ne serait pas formidable si nous pouvions nous hameçonner de manière sûre « , a déclaré Will, l’un des co-développeurs de la boîte à outils. « Il semble que dans chaque organisation, il y ait toujours une courte liste de personnes que nous savons être des hameçonneurs, qui continuent de tomber pour la même chose toutes les six à huit semaines, et certaines de ces choses sont assez boiteuses. »

Publié pour la première fois en octobre 2011, le Simple Phishing Toolkit en est déjà à sa quatrième révision. La dernière version comprend un module d’éducation avec les options pour « éduquer sur le clic de lien » (pour avertir les utilisateurs des dangers des téléchargements de logiciels malveillants intempestifs), lors de la soumission du formulaire (récolte d’informations d’identification), ou pas du tout.

En partie pour détourner les critiques sur le potentiel d’abus de l’outil par des malfaiteurs, la boîte à outils n’inclut pas la capacité de capturer les données que les destinataires saisissent dans les formulaires des pages de phishing, bien que ses créateurs disent que cette fonctionnalité sera proposée dans une future version en option. Ajouter.

Alors que des kits d’outils de phishing open source plus complets (le Boîte à outils de l’ingénieur social pour Backtrack/Metasploit, par exemple) existent depuis un certain temps, Will et le co-développeur du projet Derek ont ​​déclaré qu’ils souhaitaient une approche plus légère.

« Nous voulions un projet autonome qui ne coûte pas d’argent et ne nécessite pas beaucoup de dévouement à l’apprentissage », a déclaré Derek.

La boîte à outils porte bien son nom : elle est extrêmement simple à installer et à utiliser. À l’aide d’une copie de WampServerName – un ensemble de logiciels gratuits comprenant Apache, PHP et MySQL – j’ai pu installer la boîte à outils et créer une campagne de phishing Gmail en moins de cinq minutes.

Il semble qu’il n’y a pas si longtemps, l’idée que des organisations hameçonnent leurs propres employés était controversée. De nos jours, il y a un numéro de organisations ce offrir cette formation de sensibilisation en tant que service. Si vous préférez concevoir et exécuter la formation en interne, SPT semble être une excellente option.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *