El título de este artículo se suponía que era "Los 10 mejores simuladores de phishing gratuitos". Sin embargo, después de mucho buscar, probar, visitar enlaces rotos, completar formularios y registrarse en listas de correo, quedó claro que la combinación de "libre" y "arriba" realmente reduce la selección a muy pocas opciones reales para el entrenamiento de phishing. . La lista final no incluye ninguna de las aplicaciones de fishy (perdón por el juego de palabras) que te permiten crear un sitio web falso para recopilar datos. Tampoco estamos incluyendo ninguna de las campañas administradas gratuitas que ofrecen tantos servicios de phishing ahora populares. Queríamos centrarnos en herramientas que le permitan ejecutar una campaña de phishing por su cuenta, es decir, crear y enviar al menos un correo electrónico de phishing a un destinatario real.
Básicamente, si está buscando un simulador de phishing gratuito para su empresa, tiene tres opciones:
- Herramientas simples que le permitirán elaborar un mensaje de correo electrónico simple y enviarlo a uno o varios destinatarios utilizando un servidor de correo específico. Las funciones como informes o administración de campañas a menudo no son una opción, lo que las hace más parecidas a las herramientas de prueba de penetración que a los simuladores de phishing.
- Plataformas de phishing de código abierto. Esta es una categoría creciente e interesante, que constituye la mayoría de nuestra lista. Con el código abierto, obtiene todos los beneficios habituales, como las versiones gratuitas con muchas características y el soporte comunitario. Pero también existen todos los inconvenientes habituales: herramientas como esta, por lo general, requieren algunas habilidades técnicas importantes para instalar, configurar y ejecutar. Además, la mayoría de ellos están basados en Linux. Por lo tanto, si palabras como "dependencias faltantes" no suenan como una lengua extraña, entonces esta categoría puede interesarle. De lo contrario, existe la tercera opción.
- Versiones demo de productos comerciales. La mayoría de los simuladores de phishing comerciales se ofrecen como software como servicio (SaaS). Con ellos, usualmente obtiene lo mejor de todos los mundos: facilidad de uso, funciones avanzadas (incluido el reporte), soporte técnico, etc. Con el phishing entre los principales riesgos de ciberseguridad y los simuladores de phishing comerciales que aparecen como hongos después de una lluvia, encontrar un La demostración gratuita parece una tarea fácil. Es decir, hasta que realmente lo intentes. En la mayoría de los casos, lo mejor que puede obtener después de saltar a través de varios aros (completar un formulario de solicitud, suscribirse a una lista de correo, confirmar su dirección de correo electrónico, etc.) es una campaña gratuita administrada por el proveedor o una cuenta de demostración con tan muchas limitaciones que ni siquiera te dan una buena comprensión de las capacidades de la versión completa, y mucho menos proporcionándole una herramienta real que puede usar de manera efectiva para crear y administrar múltiples campañas de phishing. El escenario más probable para las plataformas de phishing de SaaS es una demostración programada, que puede o no dar como resultado que obtenga acceso a una versión del producto que realmente puede usar. Sin embargo, existe una excepción a esta regla, que verá en la parte superior de nuestra lista.
Top 9 simuladores de phishing
- SecurityIQ PhishSim
Lo primero es lo primero: con cualquiera de las soluciones mencionadas, no importa lo fácil que sea instalar y configurar, sigue siendo su responsabilidad. El primero de los muchos beneficios de SecurityIQ PhishSim desarrollado por InfoSec Institute es que después de completar un breve formulario en línea, obtiene acceso a todos los beneficios de SaaS sin pagar ninguno de ellos. No hay nada que instalar, ni scripts para modificar, ni servidores para configurar. Simplemente regístrese para obtener una cuenta gratuita y comience a realizar phishing. Y educando. Por supuesto, existen limitaciones, que incluyen un número limitado de estudiantes, marcas y otras opciones de personalización. Sin embargo, los elementos clave, como el uso de múltiples plantillas (con más de 100 plantillas para elegir) en una campaña, las opciones de programación de la campaña, la entrega de informes y las funciones de exportación, y un módulo interactivo de educación sobre el conocimiento del phishing,
CONCIENCIA DE SEGURIDAD
- Gophish
Como una plataforma de phishing de código abierto, Gophish lo hace bien. Es compatible con la mayoría de los sistemas operativos, la instalación es tan simple como descargar y extraer una carpeta ZIP, la interfaz es simple e intuitiva, y las funciones, aunque limitadas, se implementan cuidadosamente. Los usuarios se agregan fácilmente, ya sea de forma manual o mediante la importación masiva de CSV. Las plantillas de correo electrónico son fáciles de crear (sin embargo, no se incluyen, con un repositorio compatible con la comunidad) y modificarlas (el uso de variables permite una fácil personalización), crear campañas es un proceso sencillo y los informes son agradables de ver y pueden Se exportará a formato CSV con varios niveles de detalle. Principales inconvenientes: no hay componentes de educación de conciencia y no hay opciones de programación de campañas.
- Suerte
El primer producto comercial en nuestra lista, LUCY proporciona una descarga sin problemas de la versión gratuita (comunitaria) de la plataforma. Todo lo que necesita es su dirección de correo electrónico y su nombre, y puede descargar LUCY como un dispositivo virtual o un script de instalación de Debian. La interfaz web es atractiva (aunque un poco confusa), y hay muchas características para explorar: LUCY está diseñada como una plataforma de ingeniería social que va más allá del phishing. El elemento de conciencia también está presente con los módulos interactivos y las pruebas. Entonces, ¿por qué no colocamos a LUCY más arriba en la lista? Porque estamos hablando de simuladores de phishing gratuitos, y la versión comunitaria de LUCY tiene demasiadas limitaciones para ser utilizada de manera efectiva en un entorno empresarial. Algunas características importantes no están disponibles bajo la licencia de la comunidad, como exportar estadísticas de campaña, realizar ataques a archivos (archivos adjuntos), y Lo más importante, las opciones de programación de campañas. Con eso, la versión gratuita de LUCY le da una idea de lo que es capaz de hacer la versión de pago, pero no va más allá de eso.
- Kit de herramientas de suplantación de identidad (sptoolkit)
Si bien esta solución puede faltar en el departamento de atractivo de la GUI en comparación con algunas de las entradas anteriores, hay una característica importante que la ubica en lo más alto de nuestra lista. El kit de herramientas de suplantación de identidad (phishing) simple brinda la oportunidad de combinar las pruebas de suplantación de identidad (phishing) con la educación de concienciación sobre seguridad, con una función que (opcionalmente) dirige a los usuarios de phishing a una página de destino con un video de educación de concienciación. Además, existe una función de seguimiento para los usuarios que completaron la capacitación. Desafortunadamente, el proyecto de sptoolkit se abandonó en 2013. Un nuevo equipo está tratando de darle una nueva vida, pero a partir de ahora, la documentación es escasa y está dispersa en todo el Internet, lo que hace que la implementación realista en un entorno empresarial sea una tarea difícil. .
- Phishing Frenzy
Si bien esta aplicación de código abierto Ruby on Rails está diseñada como una herramienta de prueba de penetración, tiene muchas características que podrían convertirla en una solución efectiva para campañas internas de phishing. Quizás la característica más importante es la capacidad de ver estadísticas detalladas de la campaña y guardar fácilmente la información en un PDF o un archivo XML. Probablemente pueda adivinar la parte "sin embargo" que viene: Phishing Frenzy es una aplicación basada en Linux, cuya instalación no debe ser manejada por un novato.
- Rey phisher
Con esta solución de código abierto de SecureState, estamos ingresando a la categoría de productos más sofisticados. Las características de King Phisher son abundantes, incluida la capacidad de ejecutar múltiples campañas simultáneamente, la ubicación geográfica de los usuarios de phishing, las capacidades de clonación web, etc. Un repositorio de plantillas separado contiene plantillas para mensajes y páginas de servidor. La interfaz de usuario es limpia y simple. Lo que no es tan simple, sin embargo, es la instalación y configuración. El servidor King Fisher solo es compatible con Linux, con pasos adicionales de instalación y configuración según el tipo y la configuración existente.
- Marco de SpeedPhish (SPF)
Otra herramienta de Python creada por Adam Compton. SPF incluye muchas funciones que le permiten configurar y realizar ataques de phishing de manera rápida, incluido el vector de ataque de entrada de datos (se incluyen 3 plantillas de sitio web, con la posibilidad de usar plantillas personalizadas también). Si bien un profesional de seguridad experto en tecnología puede divertirse mucho con SPF y podrá realizar campañas de phishing contra múltiples objetivos, sigue siendo principalmente una herramienta de prueba, con muchas características excelentes (como la recopilación de direcciones de correo electrónico) que tienen poca importancia. Para alguien que realiza pruebas internas de phishing .
- Juego de herramientas para ingenieros sociales (SET)
Otra herramienta de TrustedSec, que, como su nombre indica, fue diseñada para realizar varios ataques de ingeniería social. Para el phishing, SET permite enviar correos electrónicos de phishing, así como ejecutar campañas de envío masivo, así como algunas opciones más avanzadas, como marcar su mensaje con gran importancia y agregar una lista de correos electrónicos de destino desde un archivo. SET está basado en Python, sin GUI. Como herramienta de prueba de penetración, es muy eficaz. Como una solución de simulación de phishing, es muy limitada y no incluye ninguna función de gestión de campañas o informes.
9. SpearPhisher BETA
Esta herramienta no intenta engañar a nadie (excepto a sus objetivos de phishing). Desarrollado por TrustedSec, SpearPhisher lo dice muy bien en la descripción: "Una herramienta simple de generación de correos electrónicos de suplantación de identidad (phishing)." Con un énfasis en "simple". Diseñado para usuarios no técnicos, SpearPhisher es un programa basado en Windows con una interfaz gráfica de usuario sencilla. Le permite crear rápidamente un correo electrónico de suplantación de identidad con campos personalizados de Correo electrónico, Nombre y Asunto, e incluye un editor HTML WYSIWYG y una opción para incluir un archivo adjunto. Puede enviar el correo electrónico creado a varios destinatarios agregando direcciones de correo electrónico a los campos Para, CC y BCC. El programa ha estado en Beta desde 2013, por lo que no es probable que vea ninguna actualización en el futuro cercano.