Phishing-Angriffe mit Gophish

Was ist Gophish und wofür wird es genutzt?

Gophish ist in erster Linie ein Werkzeug für legale Phishing-Angriffe zu simulieren und die jeweiligen Benutzerinteraktionen zu analysieren.

Es können personalisierte Phishing E-Mails erstellt werden, die in Form einer Kampagne alle Mitarbeiter eines Unternehmens erreicht. Dabei erfolgt eine Auswertung ob die Phishing E-Mail versendet wurde, vom Empfänger geöffnet wurde und ob auf die enthaltenen Links geklickt wurde.

Zusätzlich ist es auch möglich, eingegebene Zugangsdaten abzufragen und zu erfassen, um festzustellen ob der Benutzer diese auch wirklich eingibt.

Die Auswertung erfolgt je Benutzer. Dadurch ist es möglich, gezielte Nachschulungen für einzelne Mitarbeiter durchzuführen.

Es macht aus unserer Sicht keinen Sinn, Gophish als einziges Tool oder Maßnahme einzeln einzusetzen.

Wir setzen Gophish nur für die Kontrolle von erfolgten IT-Sicherheitsschulungen ein um dann im Anschluss noch mal gezielte Schulungen für Mitarbeiter anzubieten.

Der Vorteil von Gophish liegt in der individualität. Wir erstellen für jedes Unternehmen passende Phishing-Mails und Landing Pages die auch der Software entsprechen, die im Unternehmen eingesetzt wird.

Gerne beraten wir Sie zu IT-Sicherheitsschulungen und dem Einsatz von Gophish in Ihrem Unternehmen. Schreiben Sie uns gerne über das Kontaktformular an.

Self-Hosted Installation

Gophish lässt sich unter Windows, Mac OSX sowie Linux nutzen und ist damit Cross-Platform fähig. Wir installieren Gophish unter Ubuntu 22.04 LTS wie folgt:

apt install golang-go
apt install git
cd /opt
git clone https://github.com/gophish/gophish.git
cd /gophish
go build

Anschließend wir die config.json geöffnet:

nano config.json

Nun müssen wir die Zeile 127.0.0.1:3333 mit 0.0.0.0:3333 ersetzen, damit das Webinterface auch von extern aufgerufen werden kann.

{
        "admin_server": {
                "listen_url": "0.0.0.0:3333",
                "use_tls": true,
                "cert_path": "gophish_admin.crt",
                "key_path": "gophish_admin.key",
                "trusted_origins": []
        },
        "phish_server": {
                "listen_url": "0.0.0.0:80",
                "use_tls": false,
                "cert_path": "example.crt",
                "key_path": "example.key"
        },
        "db_name": "sqlite3",
        "db_path": "gophish.db",
        "migrations_prefix": "db/db_",
        "contact_address": "",
        "logging": {
                "filename": "",
                "level": ""
        }
}

Damit Gophish automatisch nach einem Neustart mitgestartet wird, öffnen wir Crontab:

crontab -e

und fügen einen Starteintrag für Gophish hinzu:

# m h  dom mon dow   command
@reboot sleep 30 && cd /opt/gophish/ && ./gophish

Anschließend wechseln wir wieder in das gophish Verzeichnis und starten Gophish das erste mal manuell. Das Admin Passwort wird dabei angezeigt und muss anschließend nach dem ersten Login geändert werden!

cd /opt/gophish
./gophish

Die Admin Weboberfläche ist nun unter https://<server-ip>:3333 aufrufbar.

Damit das Tracking der Phishing E-Mails auch funktioniert, muss der Port 80 von extern aufrufbar sein. Daher empfiehlt sich die Installation von Gophish auf Servern und nicht auf Windows oder MAC OSX Clients.