Phishious es un kit de herramientas de evaluación de Secure Email Gateway (SEG) de código abierto diseñado para los equipos rojos y desarrollado por el equipo de https://caniphish.com. Ofrece la posibilidad de ver cómo se comportan varias tecnologías de Secure Email Gateway cuando se les presenta material de phishing.
Pasarelas de correo electrónico seguras (SEG) compatibles:
¿Por qué utilizar Phishious?
No bromeamos cuando decimos que Phishious es una novedad mundial en la evaluación de Secure Email Gateway. Actualmente no hay ninguna otra herramienta disponible (gratuita o de pago) que te proporcione la capacidad de escanear tu phishing contra una serie de Secure Email Gateways. La utilidad más cercana es VirusTotal, sin embargo, ésta se centra específicamente en la detección de malware y no en la detección de Spam/Phish.
Mediante el uso de Phishious, podrás probar libremente tu material de phishing contra las puertas de enlace de correo electrónico seguras más populares del mundo. Esta es una capacidad inestimable ya que te proporciona una indicación del éxito de tu campaña de phishing.
¿Cómo funciona Phishious?
Phishious se aprovecha de un error de configuración común en el que muchas organizaciones difunden información demasiado sensible en las respuestas de rebote de correo electrónico y en los informes de no entrega. La información sensible suele venir en forma de cabeceras de mensajes entrantes originales no manipuladas.
Al introducir esta información en Phishious, se puede extraer la información relevante y detectar cuándo es probable que un correo electrónico acabe en la carpeta de correo no deseado de un objetivo o sea bloqueado completamente por el SEG. Cuando escalamos esto a través de muchos objetivos, somos capaces de agregar esta información para proporcionar una visión holística de cómo se comportan varios SEGs cuando se les entrega cierto material de phishing.
Para comprender mejor los ataques de rebote de correo electrónico y los problemas resultantes, lee la siguiente publicación del blog, o ve el siguiente vídeo de introducción en YouTube.
Configuración
Requisitos
Windows 10 Endpoint, Windows Server 2012+ o cualquier sistema Linux capaz de ejecutar .NET Core 5.0 (ver https://dotnet.microsoft.com/download/dotnet/5.0)
Phishious es una aplicación web .NET Core 5.0 MVC. Por lo tanto, puede ser ejecutada en Windows usando IIS o en Linux usando Apache como servidor web. Sin embargo, la forma más sencilla de utilizar Phishious es clonar el proyecto y luego depurarlo utilizando tu IDE favorito (por ejemplo, Visual Studio, Visual Studio Code, Rider, etc.).
Cómo utilizar Phishious (Automático)
La documentación está en marcha. Por favor, consulta el proyecto GitHub regularmente para una actualización. El escaneo automatizado añade una capa de orquestación mediante la cual Phishious envía automáticamente los correos electrónicos, ingiere las respuestas de rebote y analiza las cabeceras de los correos con sólo unos pocos clics de ti como usuario. El ejercicio principal para usted como usuario es identificar los receptores de correo vulnerables.
Fase 1: Identificación de los receptores de correo vulnerables
Como Phishious está diseñado para abusar de la infraestructura pública, es necesario identificar una variedad de objetivos que utilizan diferentes tecnologías de seguridad de correo (por ejemplo, el objetivo 1 utiliza Sophos PureMessage, el objetivo 2 utiliza Cisco IronPort, etc.). La identificación de los receptores de correo vulnerables se puede encontrar a través de un análisis manual (por ejemplo, CanIPhish Supply Chain Analysis o CanIPhish Global Historic Search , que requiere una cuenta en CanIPhish para acceder) o por medios programáticos (por ejemplo, la API de CanIPhish Supply Chain).
Referencia: Las imágenes adjuntas son de un CanIPhish Supply Chain Scan que muestra una “Mail Receiver Supply Chain” vulnerable y una Global Historic Search que filtra un Vulnerable Mail Receiver
Fase 2: Ajustes de la fase
Target Settings. Introduce los dominios de destino separados por un espacio, una línea o una coma. A continuación, introduce una dirección inexistente la dirección de la parte local.
SMTP Settings. Introduce la configuración del servidor SMTP que tienes previsto utilizar. Nota: Si utilizas Gmail, utilice una dirección de Gmail desechable con “Acceso de aplicaciones poco seguras” activado. Esta configuración se puede activar haciendo clic aquí – https://myaccount.google.com/lesssecureapps. También para Gmail, el nombre de usuario y la contraseña son tu dirección de correo electrónico de Gmail y la contraseña.
Storage Scan Setting. Introduce la ubicación en la que aterrizarán las respuestas de rebote del correo electrónico. Actualmente, tanto Gmail como Amazon S3 son compatibles como destinos de almacenamiento. Para utilizar Amazon S3, es probable que tengas que configurar algún tipo de capacidad de reenvío para enviar las respuestas de rebote a esta ubicación (por ejemplo, Amazon SES Mail Receiver con S3 como destino).
Email Priming Settings. Introduce tu dirección de correo electrónico de envío, el nombre para mostrar y un asunto y cuerpo de correo electrónico no maliciosos. El Email priming se utiliza para establecer una línea de base del comportamiento normal de las respectivas tecnologías de Secure Email Gateway, de modo que podamos analizar el delta de esto cuando entreguemos nuestro correo malicioso.
Una vez que haya realizado todos los ajustes, haz clic en “Save Settings” y luego en “Prime Filters“. Espera hasta un minuto para que se complete el Priming.
Fase 3: Detonación del filtro
Es hora de enviar por correo electrónico contenido malicioso a los mismos objetivos enviados por correo electrónico durante la preparación.
Paso 1. Introduce tu dirección de correo electrónico de envío, el nombre para mostrar y un asunto y cuerpo de correo electrónico maliciosos.
Paso 2. Haz clic en “Detonate Filters“. Espera hasta un minuto para que se complete la detonación.
Fase 4: Análisis de resultados
Analiza los resultados para determinar si tu material de phishing fue bloqueado o no fue detectado. Haz clic en “View Detail” para saber qué texto se analizó en los encabezados de los correos electrónicos y cómo influyó en la evaluación general de Phishious.
Referencia: Las imágenes adjuntas muestran la vista detallada de dos tecnologías SEG separadas. Esta vista muestra cómo Phishious analizó los encabezados del correo electrónico para proporcionar dos resultados separados de un solo correo electrónico de phishing.
Cómo utilizar Phishious (Manual)
Fase 1: Identificación de receptores de correo vulnerables
Como Phishious está diseñado para abusar de la infraestructura pública, es necesario identificar una variedad de objetivos que utilizan diferentes tecnologías de seguridad de correo (por ejemplo, el objetivo 1 utiliza Sophos PureMessage, el objetivo 2 utiliza Cisco IronPort, etc.). La identificación de los receptores de correo vulnerables se puede encontrar a través de un análisis manual (por ejemplo, CanIPhish Supply Chain Analysis o CanIPhish Global Historic Search , que requiere una cuenta en CanIPhish para acceder) o por medios programáticos (por ejemplo, la API de CanIPhish Supply Chain).
Referencia: Las imágenes adjuntas son de un CanIPhish Supply Chain Scan que muestra una “Mail Receiver Supply Chain” vulnerable y una Global Historic Search que filtra un Vulnerable Mail Receiver
Fase 2: Filter Priming
Paso 1. Enviar por correo electrónico contenido no malicioso a una dirección inexistente en varios dominios de destino en los que exista una vulnerabilidad de ataque de rebote y en los que se utilice un Secure Email Gateway (SEG) conocido.
Referencia: La imagen adjunta es de un correo electrónico (dentro de Gmail) dirigido a direcciones inexistentes en 15 objetivos. Cada objetivo fue identificado y seleccionado de forma única por sus diferentes tecnologías de Secure Email Gateway.
Paso 2. Espera 180 segundos. Descarga todas las respuestas de rebote recibidas y, a continuación, cárgalas en Phishious para el Filter Priming. Tras el Priming, verás el estado de todas las tecnologías de Secure Email Gateway identificadas. Para la detonación del filtro (fase 3), sólo se seleccionarán estas tecnologías.
Referencia: Las imágenes adjuntas muestran las respuestas de rebote de correo electrónico que se cargan en Phishious y, a continuación, el resultado observado del Filter Priming.
Fase 3: Detonación del filtro
Paso 1. Enviar por correo electrónico contenido malicioso a una dirección inexistente en los mismos dominios de destino enviados por correo electrónico en la fase 2.
Referencia: La imagen adjunta es de un correo electrónico (dentro de Gmail) dirigido a las mismas direcciones inexistentes en el objetivo de la fase 2. Cada objetivo se identificó y seleccionó de forma exclusiva por sus diferentes tecnologías de Secure Email Gateway.
Paso 2. Espera 180 segundos. Descarga todas las respuestas de rebote recibidas y luego cárgalas en Phishious para la Detonación del filtro. Tras la detonación, verás el estado de todas las tecnologías de Secure Email Gateway identificadas y si el phishing fue bloqueado o quedó sin detectar.
Referencia: Las imágenes adjuntas muestran las respuestas de rebote de correo electrónico que se cargan en Phishious y, a continuación, el resultado observado de la Detonación del filtro (Filter Detonation).
Fase 4: Análisis de resultados
Analiza los resultados para determinar si tu material de phishing fue bloqueado o no fue detectado. Haz clic en “View Detail” para saber qué texto se analizó en los encabezados de los correos electrónicos y cómo influyó en la evaluación general de Phishious.
Referencia: Las imágenes adjuntas muestran la vista detallada de dos tecnologías SEG separadas. Esta vista muestra cómo Phishious analizó los encabezados del correo electrónico para proporcionar dos resultados separados de un solo correo electrónico de phishing.
