GoPhish, Kit de entrenamiento anti-phishing gratuito

El Phishing. La palabra temida por cualquier administrador de sistemas a día de hoy. Hablamos habitualmente de muchos tipos de amenazas, desde gusanos a ransomware, pasando por troyanos y otras formas de poner un pie (o los dos) en una red doméstica o empresarial. Sin embargo, gran parte de estos tienen un vector de entrada común: el phishing. Es por eso que hoy os hablo del kit de GoPhish.

GoPhish, Kit de entrenamiento anti-phishing gratuito

Hoy en día es necesario aprender a detectar este tipo de correos y mensajes fraudulentos, que pueden aparecer en muchos sitios diferentes. Por supuesto, es necesario que los usuarios finales sean capaces de reconocer estos intentos de engaño. Lo bueno es que no es necesario pagar para mejorar nuestra protección anti-phishing, ya que esta solución es gratuita y de código abierto.

En pocos clicks podremos tener nuestra solución de entrenamiento funcionando, ya que es muy sencillo de utilizar.

Para instalar GoPhish, todo o que tienes que hacer es descargar el archivo ZIP, extraer los contenidos y ejecutar el binario, explican los desarrolladores en su web. Haciendo esto, estaréis iniciando dos servidores web, poblando una base de datos y configurando un agente en segundo plano, que gestionará el envío de emails. Ahora, podéis invertir vuestro tiempo creando campañas de Phishing.

Descargar GoPhish

¿A qué esperas para descargar el kit de GoPhish? Está disponible para Windows, Linux y Mac OS. La última versión es la 0.1.2, publicada en Marzo.

También puede ser descargado desde su repositorio de Github, además encontraréis documentación sobre su utilización en la web oficial (enlace previo) para dar os primeros pasos. Con el paso del tiempo, se irán añadiendo nuevas plantillas y payloads predefinidos a través de los repositorios Github, donde hay bastantes usuarios contribuyendo al proyecto.

Como utilizar GoPhish

Este sistema posee algunas características que lo hacen especial. De un lado, GoPhish posee una excelente interfaz de usuario. Construída desde cero mediante API JSON, resulta muy sencillo para desarrolladores o administradores de sistemas su uso y automatización de las campañas.

Esta solución se diferencia de otras versiones comerciales, ya que está alojado en tu propia red. Así, todo el tráfico e intercambio de información se quedará siempre dentro de tus dominios, donde debería estar.

Primeros pasos con la suite

Tras la descarga y una vez descomprimida la carpeta, veremos varios archivos de interés:

1. config.json: el archivo de configuración de la API, donde podemos definir algunos parámetros como la URL de acceso, utilización de certificados TLS, etc.
2. gophish.exe: lanzador del programa (en la versión Windows, que es la que he probado en esta ocasión). Tras su ejecución, veremos lo siguiente:

Como se puede observar, tendremos funcionando una dirección IP para administración y otra para las pruebas de uso final. Las que vemos en la imagen son las direcciones predefinidas, que pueden modificarse.

Panel de control de GoPhish

En pocos segundos estaremos frente al panel de control de la herramienta anti-phishing. Las credenciales por defecto son las siguientes:

• Usuario: admin
• Contraseña: gophish

NOTA: se recomienda modificar las credenciales por defecto lo antes posible, pues son de dominio público.

Una vez en el panel GoPhish, podremos hacer muchas cosas, empezando por revisar los ajustes del programa, crear nuevos perfiles de usuario, etc. Después, pasaremos a diseñar los diferentes elementos de nuestra campaña de engaño, para poner a prueba a nuestros usuarios.

• Por ejemplo, empezaremos por crear una nueva plantilla de Phishing mediante email. Deberemos rellenar los siguientes datos.
• También tenemos nuestro módulo de landing page. Podemos importar una página de aterrizaje copiando el código de otra ya diseñada. Marcaremos la opción para capturar los datos emitidos.

• Una vez hecho lo anterior, el paso natural sería dar forma a una campaña de Phishing. Aquí, solo faltaría reunir todos los elementos que ya tenemos o estamos configurando:

1. Plantilla de email
2. Página de aterrizaje
3. URL destino
4. Envío de información
5. Grupos

Conclusiones

Un práctico conjunto de herramientas para combatir el Phishing, fáciles de utilizar, personalizar y además totalmente gratuitas y de código abierto. ¿Qué más se puede pedir?