Nous avons vu dans le précédent post : Gophish : Familiarisez vos employés au phishing ! Part I comment installer GoPhish. Nous allons maintenant prendre l’outil en main et créer notre première campagne de Phishing :).
L’interface & la structure de GoPhish
GoPhish est un outil très intuitif. Tout d’abord, l’accueil, notre Dashboard, qui va nous permettre de suivre les différentes campagnes de phishing. Vous y retrouverez des statistiques tels que le nombre de mails envoyés par campagne, le nombre de mails cliqués, et le nombre d’identifiants volés.
1/ Campaigns : C’est ici que vous lancerez vos campagnes de phishing. Pour pouvoir lancer une campagne, il faut dabord avoir configuré tous les autres paramètres : Users / Email Templates / Landing Pages / Sending profiles.
2/ Users & Groups : Définissez ici vos “victimes”. Vous pouvez même définir des groupe. Par exemple, vous pouvez organiser vos campagnes par département : RH / IT / Logistique …
3/ Email Templates : Ici, vous allez créer / dumper des mises en forme de mail, afin que votre phishing soit crédible, pas comme les mails merdiques que vous recevez tous les jours vous disant que vous avez gagné 10 000 000 000 $ :).
4/ Landing Pages : Votre page de phishing, qui vous servira à récupérer des informations confidentielles / installer un malware sur le poste utilisateur. Soit vous la créez de 0 si vous vous ennuyez, soit l’outil permet d’aspirer le HTML de pages existantes.
5/ Sending Profiles : Définissez vos paramètres SMTP …
6/ Settings : Vous permet de changer votre Password (entre autre)
Maintenant que les présentations sont faites, passons aux choses concrètes !
Première campagne de Phishing
Users & Groups
Rendez-vous dans l’onglet Users & Groups. Ici rien de bien compliqué, un click sur “New Group” :
On choisit un petit nom sympa, et la on a 2 options :
–> J’ai 3 personnes à ajouter, je me paluche ça à la main.
–> J’ai 3000 personnes, je click sur Download CSV Template, je crée un CSV avec les mêmes colonnes et je clique sur “Bulk Import Users”.
Chose intéressante, vous pouvez renseigner la position (au sens contractuelle) de la personne dans la société, ex : Responsable réseau.
Pensez à établir une convention pour la création des groupes, par exemple, créer des groupes par département, par zone géographique (pour envoyer un phishing dans la bonne langue) , par usine …
Landing Pages
Nous allons maintenant créer notre première page web, dédié à notre phishing :). Vous pouvez choisir votre Webmail / votre réseau social d’entreprise … Ou autre :D.
Comme je l’écrivais plus haut, vous avez deux choix : Vous palucher la création en HTML, ou en mode édition normal, ou alors, il y a un petit lien “Import Site”. Vous cliquez dessus, et vous entrez l’URL de votre choix, au hasard, facebook.com ;) :
TADAAAA. C’est pas magique ça ? Faites un clique sur “Source”, pour passer en mode HTML, et modifier les URL qui pointent vers le vrai site.
Sending profiles
On passe à la catégorie Sending Profiles. Ici, vous allez définir vos paramètres d’envoie, pour votre campagne de phishing. Selon votre objectif, vous pouvez :
– Envoyer une campagne depuis votre serveur SMTP, le mail sera vérifié et non classé comme SPAM pour les utilisateurs. Vous verrez alors s’ils sont capable d’identifier un site compromis.
– Envoyer une campagne depuis un serveur SMTP publique (gmail, outlook …), qui sera sûrement catégorisé comme SPAM pour les utilisateurs. Vous verrez alors ceux qui cliquent les yeux fermés sur tout ce qui passe.
Email Templates
Ne vous inquiétez pas, on a bientôt fini ! La partie Email Templates est très importante. Un bon mail mettra en confiance votre victime. Si vous avez créé une fausse page Facebook, il faudra créer un mail en relation (ça parait cohérent … mais je préfère le préciser :D). Nous allons donc faire un mail de notification, une nouvelle demande d’ami par exemple.
Comme dans la Landing Page, 2 choix s’offrent à vous : Réécrire un mail depuis 0, ou importer un mail déjà tout fait !
Pour importer un mail, vous allez devoir copier / coller le message complet. Par exemple, depuis Gmail, ouvrez un mail, et sélectionner “Montrer l’original”. Copier tout le message et coller le dans la fenêtre GoPhish.
Tout est fait, vous avez normalement tout paramétré. Alors maintenant, amusons nous !!!
Campaigns
Vous allez pouvoir envoyer votre première campagne de phishing !!!
Vous avez juste à définir un nom, et sélectionner vos templates précédemment créés.
Dans votre DNS interne, créer un nouveau A, qui pointe vers votre serveur, en relation avec votre campagne de phishing. Par exemple : Faceboook.com ou facebo0k.com (avec un Zero). Entrez cette URL dans GoPhish.
Lancez la campagne.
Dashboard
Retournez sur votre dashboard, et suivez en temps réel l’évolution de votre campagne de phishing
Vous allez pouvoir voir le nombre de mail envoyés, ouverts, si les gens ont cliqué ou non et s’ils ont carrément entré leurs identifiants. Vous allez pouvoir voir également QUI a fait quoi :). et vous pourrez extraire les données pour analyse, et pointer les populations à risque.
L’objectif final, étant, je le répète, de pouvoir (in)former les gens sur les risques liés à l’informatique.
Si vous souhaitez aller plus loin avec l’outil, je vous donner rendez-vous à l’article suivant : Gophish : Familiarisez vos employés au phishing ! Part III : Options avancées
Merci super tuto…
Je ne comprends pas ce passage :
TADAAAA. C’est pas magique ça ? Faites un clique sur “Source”, pour passer en mode HTML, et modifier les URL qui pointent vers le vrai site
IL faut supprimer ou modifier les url qui pointent vers le vrai sire ?
Bonjour Christophe,
Enfait je voulais dire qu’il fallait modifier / supprimer les url en facebook.com, pour éviter que la personne phishée basculer sur le vrai site :D.