Top 3 sistemi di test Phishing

Buongiorno cari lettori di Tenogalaxy, oggi parleremo di alcuni sistemi per il test di Phishing.

Fondamentalmente, se state cercando un simulatore di Phishing gratuito per la vostra azienda, avete tre scelte:

Strumenti semplici;
Piattaforme di Phishing open-source;
Versioni demo di prodotti commerciali;

Vediamo nel dettaglio le opzioni offerte da queste versioni.

Strumenti semplici

Strumenti semplici che vi permetteranno di creare un semplice messaggio e-mail e inviarlo a uno o più destinatari utilizzando un server di posta specificato. Caratteristiche come il reporting o la gestione della campagna spesso non sono un’opzione, rendendoli più simili a strumenti di penetration testing che a simulatori di phishing.

Piattaforme di Phishing open-source

Questa è una categoria crescente e interessante, che costituisce la maggior parte della nostra lista. Con l’open-source, si ottengono tutti i soliti vantaggi, come le versioni gratuite ricche di funzionalità e il supporto della comunità. Ma ci sono anche tutti i soliti difetti: strumenti come questo di solito richiedono alcune competenze tecniche significative per installare, configurare ed eseguire. Inoltre, la maggior parte di essi sono basati su Linux. Quindi, se parole come “dipendenze mancanti” non suonano come una lingua aliena, allora questa categoria potrebbe essere di vostro interesse. Altrimenti, c’è la terza scelta.

Versioni demo di prodotti commerciali

La maggior parte dei simulatori di phishing commerciali sono offerti come software-as-a-service (SaaS). Con questi, di solito si ottiene il meglio di tutti i mondi: facilità d’uso, funzioni ricche (compresi i rapporti), supporto tecnico, ecc.

Con il phishing tra i principali rischi di sicurezza informatica e i simulatori di phishing commerciali che spuntano come funghi dopo una pioggia, trovare una demo gratuita sembra un compito facile. Nella maggior parte dei casi, il meglio che si può ottenere dopo aver saltato attraverso vari cerchi (compilando un modulo di richiesta, iscrivendosi a una mailing list, confermando il proprio indirizzo e-mail, ecc.) è una campagna gratuita gestita dal fornitore, o un account demo con così tante limitazioni che non ti dà nemmeno una buona comprensione delle capacità della versione completa, per non parlare di fornire uno strumento effettivo che si può effettivamente utilizzare per creare e gestire più campagne di phishing. Lo scenario più probabile per le piattaforme di phishing SaaS è una dimostrazione programmata, che può o non può portare ad ottenere l’accesso ad una versione del prodotto che si può effettivamente utilizzare.

C’è, tuttavia, un’eccezione a questa regola, che vedrete in cima alla nostra lista.

Top 3 migliori simulatori di Phishing

Prima di partire bisogna precisare che è tutto a scopo illustrativo e informativo. Non mi assumo la responsabilità di quello che farete.

1. Infosec IQ

Infosec IQ di Infosec include un test gratuito del rischio di phishing che ti permette di lanciare una campagna di phishing simulata automaticamente e ricevere il tasso di phish della tua organizzazione in 24 ore.

È inoltre possibile accedere allo strumento di simulazione di phishing su larga scala di Infosec IQ, PhishSim, per eseguire sofisticate simulazioni per l’intera organizzazione. PhishSim contiene una libreria di oltre 1.000 modelli di phishing, allegati e pagine di destinazione di inserimento dati. I modelli di Phishsim vengono aggiunti settimanalmente, permettendoti di educare i dipendenti sulle truffe di phishing più attuali. Vuoi costruire le tue email di phishing? PhishSim ha un costruttore di template drag-and-drop che ti permette di costruire le tue campagne di phishing secondo le tue specifiche.

Registrandoti per un account gratuito Infosec IQ avrai pieno accesso alla libreria di modelli PhishSim e agli strumenti di formazione, ma dovrai parlare con un rappresentante di Infosec IQ per poter lanciare una campagna PhishSim gratuita.

2. Gophish

Come piattaforma di phishing open-source, Gophish lo fa bene. È supportata dalla maggior parte dei sistemi operativi, l’installazione è semplice come scaricare ed estrarre una cartella ZIP, l’interfaccia è semplice e intuitiva, e le caratteristiche, anche se limitate, sono implementate con cura. Gli utenti sono facilmente aggiunti, sia manualmente che tramite l’importazione di massa CSV.

I modelli di e-mail sono facili da creare (non ce ne sono inclusi, anche se è stato avviato un repository supportato dalla comunità) e modificare (l’uso di variabili permette una facile personalizzazione), la creazione di campagne è un processo semplice, e i rapporti sono piacevoli da guardare e possono essere esportati in formato CSV con vari livelli di dettaglio. Principali svantaggi: nessun componente di educazione alla consapevolezza e nessuna opzione di programmazione delle campagne.

3. LUCY

Il prodotto commerciale della nostra lista, LUCY fornisce un download senza problemi della versione gratuita (community) della piattaforma. Tutto ciò di cui hai bisogno è il tuo indirizzo email e il tuo nome, e puoi scaricare LUCY come un apparecchio virtuale o uno script di installazione Debian.

L’interfaccia web è attraente (anche se un po’ confusa), e ci sono molte caratteristiche da esplorare: LUCY è progettato come una piattaforma di ingegneria sociale che va oltre il phishing. L’elemento di consapevolezza c’è anche con moduli interattivi e quiz. Allora, perché ho messo LUCY più in alto nella lista? Perché stiamo parlando di simulatori di phishing gratuiti, e la versione comunitaria di LUCY ha troppe limitazioni per essere efficacemente utilizzata. Alcune caratteristiche importanti non sono disponibili sotto la licenza community, come l’esportazione delle statistiche della campagna, l’esecuzione di attacchi di file (allegati), e, soprattutto, le opzioni di pianificazione della campagna. Con questo, la versione gratuita di LUCY ti dà un assaggio di ciò che la versione a pagamento è in grado di fare, ma non va molto oltre.

Questo è tutto, ad un prossimo articolo!