Problemas técnicos de seguridad al ejecutar proactivamente una campaña de phishing dirigida a sus propios usuarios

Esto depende del tipo de ataques de phishing a los que sus usuarios suelen ser víctimas. Si son víctimas de "envíenme un correo electrónico con sus credenciales", pero no "hagan clic en este enlace", tienen algunos usuarios muy raros.

De lo contrario, si caen en ambos, o si solo caen en enlaces diseñados, puede configurar un servidor local y configurar un sitio de phishing. Esto garantizará que ninguna credencial salga de su red, al mismo tiempo que permita el objetivo final: averiguar quién se enamoró de ella. Esto también significa que tienes un poco más de control ya que todo sucede localmente.

Sin embargo, hay un par de puntos que alzaron una ceja:

• Si algunos de sus usuarios usan un servidor SMTP externo, significa que en la línea, no tiene un registro SPF para el dominio donde se encuentran los buzones, o tiene un registro SPF demasiado permisivo. Este es un problema importante , ya que hace que los correos electrónicos de suplantación de identidad (phishing) sean triviales para ser "buenos": todo lo que un phisher necesita encontrar es un relé abierto. Considere agregar un registro SPF restrictivo y decirle a sus usuarios que usen su servidor SMTP (+ TLS o GTFO)
• ¿Por qué quieres avergonzar a tus usuarios? Dibujar estadísticas es un uso mucho mejor de los datos. Nombramiento & la vergüenza conduce a que las personas sean señaladas sobre algo relativamente trivial (o un error que todos podríamos cometer), conduce a que la gente se vaya a pastos más verdes.

No avergüences a tus usuarios. La vergüenza es fácilmente ignorada. Para ser efectivo, tienes que tomar represalias contra tus usuarios. Si sucumben al falso phishing, los golpean, los azotan y luego los despiden. Además, solicite su número de tarjeta de crédito o los datos bancarios en el correo electrónico de suplantación de identidad y saquee las cuentas de los usuarios equivocados que acudieron a él. Asegúrese de cargar también imágenes de pornografía infantil en sus sistemas de escritorio y luego denunciarlas ante el FBI. Recuerde que un buen usuario es un usuario descontento, temblando de miedo, lleno de resentimiento y al borde de la crisis nerviosa. Sólo entonces será productivo y eficiente.

...

A pesar del sarcasmo, avergonzar a tus propios usuarios a través de un falso phishing, además de ser moralmente dudoso e ilegal en la mayoría de los países, también parece una estupidez sangrienta por hacer en primer lugar.

Si realmente tiene la intención de desempeñar el papel de atacante, tendrá que operar como lo hacen los atacantes exitosos, lo que implicará asociarse con personas sospechosas como los operadores de redes de bots, que venden servicios de envío masivo de correo electrónico a los spammers. >     

Para mí, esta idea parece más una caja de pandora:
- Dejando a un lado las buenas intenciones, es una trampa / tentación que puede terminar en un tribunal (a menos que usted sea un tipo de gobierno / entidad regulada en la que tenga cobertura). p.ej. el usuario puede reclamar que su cuenta bancaria se vació exactamente después de esta "campaña antiphishing" suya; - Confundirá a los usuarios sin posibilidad de reparación - usted hace la prueba, ellos toman la mordida, vuelven a responderles con 'vergüenza', subconscientemente anotarán esto como 'Ah, si es un correo de phishing, entonces es de nuestros "chicos de TI", entonces el verdadero intento de phishing viene con una redacción inteligente "por ejemplo Hola, este es su departamento de TI que verifica el incumplimiento de cuentas recientes, haga clic en ... '

La única forma en la que posiblemente consideraría acercarme a esto si me pidieran es enviar un correo electrónico atractivo desde un servidor no oficial que se vincule a una URL no estándar y esté registrado bajo un tercero, pero que aún esté conectado a una URL no estándar. -como IP utilizada en servidores controlados por la organización correcta.

De esta manera, las personas que son víctimas de esto no comprometen ninguna información y, en cambio, pueden trabajar para explicar qué es el phishing y cómo evitarlo mejor. Yo tampoco intentaría avergonzarlos. Es probable que ni siquiera sea obvio que cayeron en un ataque de phishing en el momento de la conexión, sino que el servicio al cliente los llame y hable con ellos al respecto.

La única forma en que será bien recibido es si cada paso del proceso protege su información y se aborda como un servicio educativo para ayudarlos en lugar de una "prueba". Si lo perciben como una prueba, obtendrá más resentimiento que un servicio educativo útil.

Otra forma de hacerlo podría ser simplemente enviar el correo electrónico desde la dirección de correo electrónico falsa y revelar que se trata de un correo electrónico de suplantación de identidad (phishing) en el correo electrónico en sí mismo y explicar algunos de sus aspectos. porque en un mensaje real en el mensaje falso que envías. Es mucho más fácil de implementar y, probablemente, será mejor recibido e igualmente efectivo.