Cómo instalar y ejecutar GoPhish para realizar pruebas de phishing a usuarios finales

Cómo realizar pruebas de phishing para mejorar la seguridad de tu empresa

No importa cuánto tiempo dedique tu personal de IT a fortalecer tus servidores de centro de datos y tus equipos de escritorio, tu seguridad solo es tan fuerte como los usuarios finales que utilizan el hardware. Con un solo clic del ratón, uno de tus empleados podría causar estragos en tus sistemas. Por eso, es importante que realices pruebas constantes a tus dispositivos, pero también a tus empleados.

Podría sonar un poco deshonesto, pero no lo es. Con una simple prueba de phishing, no solo puedes evaluar la eficacia de tus soluciones antivirus, sino también el conocimiento de tus usuarios finales, y eso es clave. Hasta que tus usuarios finales sean capaces de detectar un correo electrónico sospechoso, estarán siempre a un clic de abrir tu red a un ataque.

¿Cómo pruebas a esos usuarios finales? Una forma es utilizar la herramienta de phishing GoPhish. Con GoPhish puedes simular campañas de phishing e incluso ayudar a capacitar a tus empleados.

GoPhish es una plataforma fácil de usar que se puede ejecutar en escritorios con Linux, macOS y Windows. Con GoPhish puedes crear y controlar campañas de phishing, páginas de destino y perfiles de envío, entre otras cosas.

A continuación, te mostraré cómo instalar GoPhish y crear una campaña.

Los diferentes tipos de buses en los dispositivos electrónicos
Índice de Contenido
  1. Lo que necesitarás
  2. Cómo instalar GoPhish
  3. Cómo ejecutar GoPhish
  4. Cómo iniciar una campaña de GoPhish

Lo que necesitarás

Te mostraré cómo usar GoPhish en Ubuntu 20.04. La instalación de GoPhish es bastante sencilla, independientemente de la plataforma, pero hay un paso adicional a seguir cuando se utiliza Linux (mi sistema operativo preferido).

Para utilizar GoPhish de la manera que te describiré, necesitarás una instancia en ejecución de Ubuntu y un usuario con privilegios de sudo.

Cómo instalar GoPhish

No necesitas instalar GoPhish. En su lugar, simplemente descargas un archivo comprimido, lo descomprimes y ejecutas el archivo binario.

Lo primero que debes hacer es descargar el archivo comprimido de GoPhish desde la página de descarga oficial. Una vez que se complete la descarga, abre una ventana de terminal, cambia al directorio donde se encuentra la descarga y crea un nuevo directorio con el comando:

mkdir gophish

Mueve el archivo comprimido a ese directorio con el comando:

Cómo entrar al programa de configuración del BIOS en tu computadora

mv gophish*.zip gophish

Cambia al nuevo directorio con el comando:

cd gophish

A continuación, descomprime el archivo con el comando:

unzip gophish*.zip

Cuando se complete la descompresión, encontrarás (entre otras cosas) el archivo binario de GoPhish. Para ejecutar ese archivo, debes darle los permisos adecuados con el comando:

Entendiendo los permisos de archivos y directorios en UNIX

chmod u+x gophish

Cómo ejecutar GoPhish

Para utilizar GoPhish correctamente, los destinatarios de tu campaña de prueba de phishing deben poder acceder al servidor de phishing. Por lo tanto, no debes usar la dirección de bucle local (localhost), sino la dirección IP del servidor de phishing. Esto significa que el servidor debe ser accesible. Para asegurarte de que GoPhish es accesible desde tu red local, debes hacer un simple ajuste en un archivo de configuración. En tu ventana de terminal, ejecuta el siguiente comando:

nano config.json

En ese archivo, busca la línea:

"listen_url": "127.0.0.1:3333",

Cambia esa línea por:

Cómo recuperar una contraseña de BIOS perdida: dos métodos efectivos

"listen_url": "SERVER_IP:3333",

Donde SERVER_IP es la dirección IP de la máquina que aloja el servidor.

Guarda y cierra el archivo.

Ahora puedes iniciar GoPhish con el comando:

sudo ./gophish

Esto iniciará el servidor de GoPhish incorporado. Una vez que esté en funcionamiento, verás una línea en la salida que te informará de las credenciales predeterminadas para tu instancia. El nombre de usuario es "admin" y la contraseña es una cadena aleatoria de caracteres. Copia esa cadena de caracteres y luego abre un navegador web. Dirige el navegador a https://SERVER_IP:3333 (donde SERVER_IP es la dirección IP o URL de tu servidor de hosting). Cuando se solicite, introduce las credenciales de inicio de sesión predeterminadas (Figura A).

Cómo funciona y cómo probar una fuente de alimentación para PC

Figura A

Cómo instalar y ejecutar GoPhish para realizar pruebas de phishing a usuarios finales - Centros de Datos | Imagen 1 Newsmatic

A continuación, se te pedirá que cambies la contraseña de administrador (Figura B).

Figura B

Cómo instalar y ejecutar GoPhish para realizar pruebas de phishing a usuarios finales - Centros de Datos | Imagen 2 Newsmatic

Una vez que hayas cambiado correctamente la contraseña de administrador, verás el panel de control de GoPhish (Figura C).

Cómo diagnosticar y reemplazar una fuente de alimentación defectuosa en tu PC

Figura C

Cómo iniciar una campaña de GoPhish

Enviar una campaña de GoPhish es bastante sencillo, si sabes por dónde empezar. No puedes simplemente hacer clic en "Nueva campaña" y empezar, porque primero debes crear algunas piezas para que el rompecabezas encaje.

El perfil de envío es una configuración SMTP (de lo contrario, GoPhish no podría enviar campañas). Haz clic en "Perfiles de envío" en la barra lateral izquierda y luego en "Nuevo perfil". En la ventana resultante, configura un servidor SMTP que se utilizará para la campaña (Figura D).

Figura D

Cómo instalar y ejecutar GoPhish para realizar pruebas de phishing a usuarios finales - Centros de Datos | Imagen 3 Newsmatic

A continuación, crea una plantilla de correo electrónico haciendo clic en "Plantillas de correo electrónico" en la barra lateral izquierda y luego en "Nueva plantilla". En la nueva ventana de plantilla, crea una plantilla que se utilizará para tu campaña (Figura E).

Cómo reemplazar un fusible de la fuente de alimentación y ahorrar dinero

Figura E

Cómo instalar y ejecutar GoPhish para realizar pruebas de phishing a usuarios finales - Centros de Datos | Imagen 4 Newsmatic

Cuando creas una plantilla, es importante que utilices variables. Por ejemplo, en una línea de asunto podrías usar algo como:

Restablecimiento de contraseña para {{.Email}}

Luego, en el cuerpo del correo electrónico, podrías usar algo como:

{{.FirstName}},

Soluciones para problemas comunes de gestión de energía en laptops

La contraseña de {{.Email}} ha caducado. Haz clic aquí para restablecer tu contraseña.

Gracias,

Tu equipo de IT

A continuación, debes añadir un enlace para la palabra "aquí". Abre el diálogo de enlaces y utiliza {{.URL}} como URL.

Luego, debes crear una página de destino. Esta página simulará una página donde los usuarios intentarán iniciar sesión en su servicio o cambiar su contraseña. Para esto, deberás utilizar un sitio web real que requiera que los usuarios inicien sesión o cambien su contraseña. Puede ser alguno de tus propios servidores o de un tercero. Haz clic en "Página de destino" y luego en "Nueva página de destino".

En la ventana resultante, dale un nombre a la página, haz clic en "Importar sitio", escribe la URL de la página de inicio de sesión que se utilizará, haz clic en "Importar" y marca las casillas de "Capturar datos enviados" y (opcionalmente) "Capturar contraseña" (Figura F).

ADO: La tecnología de acceso a datos de Microsoft para todas tus necesidades

Nota: Las credenciales no están cifradas, por lo que es posible que no desees capturar contraseñas.

Figura F

Cómo instalar y ejecutar GoPhish para realizar pruebas de phishing a usuarios finales - Centros de Datos | Imagen 5 Newsmatic

Finalmente, debes crear un nuevo grupo. Haz clic en "Usuarios y grupos" en la barra lateral izquierda y luego en "Nuevo grupo". En la ventana emergente, crea un nuevo grupo y luego agrega o importa usuarios. Estos usuarios serán las direcciones de correo electrónico a las que enviarás la campaña de phishing (Figura G).

Figura G

Cómo instalar y ejecutar GoPhish para realizar pruebas de phishing a usuarios finales - Centros de Datos | Imagen 6 Newsmatic

10 consejos para solucionar problemas de servidores y recuperarlos rápidamente

Después de haber creado un perfil, una plantilla, una página de destino y un grupo, ahora puedes hacer clic en "Campañas" y luego en "Nueva campaña". En la ventana de nueva campaña, completa toda la información, seleccionando las piezas nuevas que acabas de crear (Figura H).

Figura H

Cómo instalar y ejecutar GoPhish para realizar pruebas de phishing a usuarios finales - Centros de Datos | Imagen 7 Newsmatic

La única información que podría confundirte es la URL. La URL es la que se muestra en el valor de la plantilla {{.URL}} y debe ser accesible para el destinatario. Además, debe ser el dominio o la dirección IP de tu servidor GoPhish.

Una vez que hayas completado toda la información, haz clic en "Lanzar campaña", lo que iniciará inmediatamente la campaña a la lista de destinatarios que creaste en la sección de Grupos.

Los destinatarios recibirán la campaña y es posible que hagan clic en el enlace. Cuando lo hagan, GoPhish registrará los datos. Luego puedes ir al panel de control y ver los resultados, que incluso te informarán qué usuarios abrieron el correo electrónico, qué usuarios hicieron clic en el enlace de phishing y qué usuarios enviaron datos al enlace (Figura I).

Figura I

Cómo instalar y ejecutar GoPhish para realizar pruebas de phishing a usuarios finales - Centros de Datos | Imagen 8 Newsmatic

Y eso es todo lo que necesitas para crear y lanzar una campaña de phishing con GoPhish. Si tienes usuarios finales en tu empresa, les debes a ellos, a ti mismo y a la seguridad de los recursos de tu empresa realizar este tipo de campañas de vez en cuando.

Suscríbete a How To Make Tech Work de Newsmatic en YouTube para obtener los últimos consejos tecnológicos para profesionales de empresas de Jack Wallen.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Centros de Datos, allí encontraras muchos artículos similares a Cómo instalar y ejecutar GoPhish para realizar pruebas de phishing a usuarios finales , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.