Cyber security ආශ්රිතව කටයුතු කරන අයට වැදගත් වෙන phishing training, එහෙමත් නැත්තන් ඒ ආශ්රිත කටයුතු සිදු කෙරෙන phishing campaign එකක් සිදු කිරීමේදී අවශ්ය වන simulators කිහිපයක් ගැනයි මේ කියන්න හදන්නේ. අන්තර්ජාලය තුළ මේ වගේ phishing simulators ඕන තරම් හොයාගන්න තිබුණත් හොඳින් සොයා බලා තෝරා බේරා අපි හොඳම phishing simulators 9ක් ඔයාලට ඉදිරිපත් කරන්න හිතා ගත්තා. මොකද සමහර වෙබ් අඩවි සහ apps හරහා තිබෙන එවැනි සේවා තරමක් අවදානම් වගේ පෙනුන නිසා ඒවා ඉවත් කර ඔයාලා එක්ක share කරගන්නයි අපි හිතුවා. හරි, එහෙනම් අපි දැන් එකින් එක බලමු මොනවද මේ phishing simulators කියලා.
ඔයාගේ වැඩේට හොයන්නේ free ලබාදෙන phishing simulators නම් ඔයාට තෝරාගන්න පුළුවන් අවස්ථා තුනක් තියෙනවා. මුලින්ම බලන්නකෝ මොනවද ඒ අවස්ථා තුන කියලා.
- සරල email එකක් සකස් කරලා එක් කෙනෙක්ට හෝ කිහිප දෙනෙක්ට එකවර නිශ්චිත email server එකක් හරහා යවන්න පුළුවන් ආකාරයේ simple tools තියෙනවා. Reporting හෝ campaign manage කරගන්න පුළුවන් ක්රමවේද මේවායේ නැහැ. මේවා ඇත්තටම phishing simulators වලටත් වඩා pentesting tools වගෙයි සැළකෙන්නේ.
- Open source phishing platforms – වර්තමානය වෙද්දී මේ ක්ෂේත්රයේ බහුලවම යොදාගන්නේ මේ ආකාරයේ tools. අපි පහළින් කතා කරන්න යන ලැයිස්තුවෙත් වැඩිපුරම තියෙන්නේ එවැනි සේවායි. Open source වුණාම ඔයාට ලැබෙන වාසියක් තමයි ගොඩක් වටිනා features රැසක් නොමිලේම ලැබෙන එකත්, හොඳ community සහයක් ලැබීමත්. හැබැයි ඒ වගේම එවැනි tools වල තියෙන අවාසිදායක තත්වයන් තමයි ඒවා install කරන්න, configure කරන්න සහ run කරන්න හොඳ technical skills තියෙන්න ඕන. විශේෂිතම කරුණ තමයි මේ open source tools ගොඩක් Linux based සකස් වී තිබීම. Linux එක්ක හොඳට වැඩ කරන්න දන්නවා නම් එයාලට මේක හොදයි, නමුත් එහෙම නැති නම් ඔයාට ඊළඟ option එකට යන්න වෙනවා.
- Commercial නිපැයුම් වල free version භාවිතා කිරීම – Commercial phishing simulators බහුතරයක් Software as a Service (SaaS) ලෙසයි ක්රියාත්මක වෙන්නේ. මේවා භාවිතය පහසුයි, හොඳ features රැසක් තිබෙනවා වගේම තාක්ෂණික සහය හොඳට ලැබෙනවා. අපි කරන වැඩේ එක්ක බැලුවම මෙවැනි සේවා භාවිතා කිරීම හරිම පහසුයි. Request forms fill කිරීම, mailing list එකට subscribe කිරීම, email address එක confirm කිරීම වගේ පොඩි වැඩ ටිකක් අවසානයේ ඔයාට free version එකක සේවය ලබාගන්න පුළුවන්. හැබැයි ඉතින් ගොඩක් වෙලාවට pro version එකේ තියෙන හැමදේම ඔයාට මේ වගේ සේවා වල demo එකකින් ඉගෙන ගන්න ලැබුණත් ඒවා හරියට භාවිතා කරන්න නම් මුදල් ගෙවීමක් කරන්න වෙනවා.
අපි මේ කතා කරපු කාණ්ඩ තුන ආවරණය වෙන විදියට හොඳම phishing simulators කිහිපය ගැන මීළඟට කතා කරලා බලමු.
- InfoSec IQ – InfoSec ආයතනයේ නිපැයුමක් වෙන මේ InfoSec IQ මඟින් ඔයාට free phishing risk test එකක් සිදුකරන්න අවස්ථාව ලබාදී තිබෙනවා. ඒ හරහා phishing campaign එකක් කරලා ඔයාගේ ආයතනයේ phishing rate අගය පැය 24ක් වගේ ඇතුළත නොමිලේ ලබාගන්නත් හැකියාව තියෙනවා.ඒ වගේම ඔබට InfoSec IQ හි සම්පූර්ණ tool එක වන PhishSim වලට access වී සම්පූර්ණ ආයතනයම ආවරණය වන පරිදි කටයුතු කරන්න හැකියාව තිබෙනවා. මේ PhishSim වල 1000+ templates, attachments සහ data entry landing pages ආදී රැසකින් යුක්ත library එකක් තිබෙනවා. PhishSim වල templates සතිපතා නිකුත් කරන අතර ඒ හරහා ආයතනයේ සේවකයන්ට phishing scams ගැන දැනුවත් කිරීම් කරන්න පුළුවන්.
ඔබට ඔබේම phishing emails හදාගන්න ඕන නම් එකටත් මෙහි ඇති drag & drop ආකාරයේ template builder එක හරහා ඔබට කැමති ආකාරයට ඒවා සකසා ගත හැකියි.
ඔබත් අදම අවශ්ය නම් InfoSec IQ account එකක් free හදාගෙන PhishSim template library සහ education tools වලට සම්පූර්ණ access ලබාගන්න. නමුත් ඔබට නොමිලේ PhishSim campaign එකක් කරන්න කලින් ඔවුන්ගේ සහය ලබාගන්න වෙනවා.
InfoSec IQ හි free demo එකක් ආරම්භ කිරීමට මෙහි click කරන්න.
- Gophish – Open source platform එකක් ලෙස මෙය අපිට හඳුන්වන්න පුළුවන්. බොහොමයක් මෙහෙයුම් පද්ධති වලට සහය දක්වන මෙය download කිරීම, install කිරීම ඉතා සරලයි. මෙහි interface එක භාවිතය පහසු වන අතර features භාවිතා කිරීමද ඒ තරම් අපහසුවක් වෙන්නේ නැහැ. මෙයට users add කිරීමට manual ආකාරයට හෝ csv file එකකින් එකවර රැසක් import කරගැනීමට හැකිය. Email templates නිර්මාණය කිරීමද මෙහි පහසු වන අතර අවශ්ය නම් පසුව modify කරගැනීමටද හැකියාව ඇති අතර ඔබට මේ කටයුතු සඳහා community සහය ඉතා හොඳින් ලබාගන්නත් හැකියාව තිබෙනවා. Campaign නිර්මාණය කර reports csv ආකාරයට export කරගන්න පුළුවන් නිසා ඔබට phishing training එකක් ඉතා ඉක්මණින් කරගන්න පුළුවන්.
මෙම tool එක තියෙන ප්රධානම අවාසිදායක තත්වයන් වන්නේ education කොටස් පිළිබඳව වැඩි අවධානයක් යොමු නොවීම සහ campaign එකක් scheduling කිරීමට නොහැකි වීමයි.
- Lucy – ඔන්න මේක තමයි අපි කතා කරන ලැයිස්තුවේ තියෙන පළමු commercial tool එක. ඔයාට මෙහි ඇති free version එක, ඒ කියන්නේ community version එක කිසි ගැටළුවක් නැතිව download කරගන්න පුළුවන්. මෙහිදී ඔබට අවශ්ය වන්නේ ඔයාගේ නමයි, email address එකයි විතරයි. ඊට පස්සේ ඔබට එය virtual ආකාරයට හෝ debian script එකක් ලෙස හෝ download කරගන්න පුළුවන්. මෙහි වෙබ් interface එක ආකර්ෂණීය වන අතර ඔබට භාවිතයට ගත හැකි features රැසකිනුත් සමන්විත වෙනවා. මේ Lucy නිර්මාණය කරලා තියෙන්නේ phishing වලට එහා ගිහින් social engineering කටයුතු සඳහාත් යොදාගත හැකි ලෙසයි. අපි මේ කියපු වගේ ගොඩක් ධනාත්මක දේවල් මේ tool එකේ තිබුනත් ඔයාලට මුලින් ගන්න ලැබෙන free version එකේ නම් enterprise version එකේ වගේ වැඩ ඔක්කොම කරගන්න බැහැ, ගොඩක් limitations තිබෙනවා. Community license එකට campaign stats export කිරීම, file attachment attacks සිදුකිරීම, campaign scheduling කිරීමට නොහැකි වීම වගේ ගොඩක් වටිනා features අඩංගු කරලත් නැති නිසා තරමක් අවාසිදායක තත්වයන් තිබෙනවා. ඉතින් ඔබට අවශ්ය නම් free version එක පොඩ්ඩක් පාවිච්චි කරලා හොදයි වගේ නම් මුදල් ගෙවලා ඔක්කොම features සමඟ paid version එක ගන්න පුළුවන්.
- Simple Phishing Toolkit (Sptoolkit) – කලින් අපි කතා කරපු ඒවත් එක්ක බලද්දී මෙහි ඇති දුර්වලතාවයක් තමයි GUI ලෙස මෙය නොපැවතීම. ඒක නිසා තරමක් ආකර්ෂණීය බව අඩුයි. මේ tool එක හරහා ඔබට security awareness education සමඟ phishing tests සිදුකිරීමට හැකියාව තිබෙනවා. ඒ වගේම මෙහි awareness education video එකක් සමඟ landing page එකක් phished පරිශීලකයින්ට බලන්න පුළුවන් feature එකක් තිබෙනවා. තවත් හොඳ feature එකක් තමයි training එක අවසන් කළ අය කවුද කියලා බැලීමට ඇති හැකියාව. නමුත් අවාසනාවට මේ Sptoolkit ව්යාපෘතිය 2013 දී එහි සංවර්ධන කණ්ඩායම විසින් නවතා දමනු ලැබුවා. ඊට පසුව අලුත් කණ්ඩායමක් විසින් එය නැවත ආරම්භ කළත් මේ වෙද්දී අන්තර්ජාලයේ ඊට වැඩි ප්රතිචාර ප්රමාණයක් ලැබිලා නැහැ.
- Phishing Frenzy – Ruby on Rails application එකක් ලෙස මෙය open source ආකාරයට තමයි penetration testing සඳහා design කර තියෙන්නේ. Internal campaign සඳහා මෙය කදිම solution එකක් ලෙස භාවිතා කළ හැකිවන ආකාරයට හොඳ features ටිකක් අඩංගු වෙනවා. මෙහි ඇති තවත් හොඳම features වන්නේ campaign වල stats පහසුවෙන් බැලීමට හැකිවීමත්, අවශ්ය තොරතුරු PDF හෝ XML ආකාරයෙන් save කරගන්නත් පුළුවන් වීමයි. Phishing Frenzy කියන්නේ Linux මත පදනම් වූ application එකක් නිසා මෙහි වැඩ කරන හැටි දැනගන්න නම් හොඳ technical skill එකක් තියෙන්න ඕන.
- King Phisher – SecureState විසින් open source application එකක් ලෙස සකස් කළ මෙය තරමක් නවීන එකක් ලෙස හඳුන්වන්න පුළුවන්. මෙහි ඉතා වටිනා features රැසක් තිබෙනවා. එකවර campaign කිහිපයක් run කළ හැකිවීම, phished පරිශීලකයින්ගේ geo location ලබාගත හැකිවීම, web cloning හැකියාව ආදිය ඒ අතරින් කිහිපයක්. වෙනම පිහිටි template එකක messages සහ server pages සඳහා templates රැසක් තිබීම user interface එක සරල වීම වගේ දේවල් නිසා මෙය භාවිතය තවත් පහසු වී තියෙනවා. ඒ විතරක් නොවේ, install කිරීම සහ භාවිතයත් හරිම පහසුයි. King Phisher server එක Linux වලට පමණක් සහය දක්වන නිසා අමතර install සහ configure දැනුමකුත් ඒ සඳහා අවශ්ය වෙනවා.
- SpeedPhish Framework (SPF) – Adam Compton විසින් නිර්මාණය කරන ලද තවත් Python tool එකක් ලෙස මෙය හඳුන්වන්න පුළුවන්. මෙහි ඔබට ඉක්මණින් configure කර data entry attack vector (පහසුවෙන් customized කළ හැකි වෙබ් templates තුනකින් මෙය යුක්තයි) සමඟ කාර්යක්ෂම phishing attack එකක් සිදුකිරීමට හැකියාව ලබා දෙනවා. හොඳට වැඩ දන්න security professional කෙනෙක්ට නම් මෙය භාවිතා කරලා එකවර ඉලක්ක රැසකට phishing campaigns සිදුකිරීමටද හැකියාව පවතිනවා. මෙය මූලිකවම pentesting tool එකක් වන අතර emails එකතු කරගැනීමේ පහසුකම් වගේ දේවල් නිසා අභ්යන්තර වශයෙන් phishing test කිරීමටත් යොදාගන්න පුළුවන්.
- Social Engineering Toolkit (SET) – TrustedSec විසින් නිපදවන ලද තවත් tool එකක් ලෙස මෙය හඳුන්වන්න පුළුවන්. නමේ විදියටම මෙමඟින් විවිධ social engineering attacks සිදුකරන්න පුළුවන්. Phishing සඳහා SET යොදාගෙන මහා පරිමාණ emails යැවීම වගේම spear-phishing emails ද යවන්න ඔබට පුළුවන්. මෙහි ඇති advanced features ලෙස වඩා වැදගත් messages flag කිරීම සහ email ලිපිනයන් list එකක් ලෙස file එකකින් ඇතුළත් කිරීමේ පහසුකමද තිබෙනවා. SET python based නිසා GUI ආකාරයට නම් ඔබට ලැබෙන්නේ නැහැ. Penetration testing tool එකක් ලෙස නම් මෙය ඉතා ඵලදායි. Phishing simulation එකක් විදියට නම් මෙය තරමක් සීමාකාරියි. ඒ මොකද කියනවා නම් මෙහි reporting සහ campaign management features අඩංගු වන්නේ නැහැ.
- SpearPhisher BETA – මේ tool එක නම් කිසිම කෙනෙක්ව රවට්ටන්න හෝ මුලා කරන්න උත්සාහ කරන්නේ නැහැ. කොටින්ම phishing ඉලක්කයක් වුනත් එහෙම තමයි. මෙයත් කලින් SET tool එක වගේම TrustedSec විසින් තමයි සකස් කරලා තියෙන්නේ. මෙම tool එකේ විස්තරයෙන්ම පැහැදිලි කරනවා මේ tool එක කොයි වගේ එකක්ද කියලා. “A Simple Phishing Email Generation Tool.” ලොකු තාක්ෂණික දැනුමක් නැති ඕනෑම කෙනෙක්ට පහසුවෙන්ම භාවිතා කළ හැකි සරල GUI එකකින් යුක්ත Windows මත පදනම් වූ tool එකක් තමයි මේ SpearPhisher BETA කියන්නේ. WYSIWYG HTML editor එකකින් සමන්විතව From Email, From Name, සහ Subject fields ආදී කොටස් වලින් සමන්විතව පහසුවෙන් customized කළ හැකි ලෙසයි මෙය සකස් වී තිබෙන්නේ. ඒ වගේම මේ හරහා ඔයාට attachment එකක් වුණත් ලබාදෙන්න පහසුකම් තියෙනවා. Email එකේ To, Cc සහ Bcc යන sending ක්රමත් ඇතුළත් වී ඇති නිසා ඔබට එකවර කිහිපදෙනෙක්ට emails යවන්නත් පුළුවන්. 2013 සිටම මෙය beta version එකක් ලෙස පවතින අතර තවමත් අලුත් update එකක් නම් නිකුත් වී නැහැ.
හරි, එහෙනම් ඔන්න ඔය විදියට අපිට වර්තමානයේ බහුලවම භාවිතා කරන Top phishing simulators කිහිපය ගැන කතා කරන්න පුළුවන්. ඔයාලත් අදම මේවා try කරලා බලන්න කියලා අපි ආරාධනා කරනවා.