Tip & Trik Instalasi dan Simulasi Phising Menggunakan Gophish

1. Apa Itu Gophish? 🐟

Gophish adalah alat sumber terbuka yang powerful untuk melakukan simulasi serangan phishing. Dengan Gophish, Anda dapat membuat kampanye phishing yang realistis, mengirimkan email phishing ke target tertentu, dan melacak respons mereka. Ini memungkinkan Anda untuk mengevaluasi kesadaran keamanan dan kewaspadaan karyawan terhadap ancaman phishing.

2. Persiapan Instalasi Gophish

Sebelum menginstal Gophish, pastikan sistem Anda memenuhi persyaratan berikut:

Persyaratan Sistem

🖥️ Sistem Operasi: Linux, Windows, atau macOS 💾 RAM: Minimum 1 GB ⚙️ Perangkat Lunak Pendukung: Go, MySQL/PostgreSQL (opsional untuk penyimpanan data)

Mengunduh Gophish

Anda dapat mengunduh Gophish dari situs web resminya di https://getgophish.com/. Pilih versi terbaru yang sesuai dengan sistem operasi Anda. Versi yang digunakan saat dokumen ini dibuat adalah gophish-v0.12.1-windows-64bit.

3. Proses Instalasi Gophish

Proses instalasi Gophish bervariasi tergantung pada sistem operasi yang Anda gunakan.

Instalasi pada Sistem Operasi Linux

1. Ekstrak file yang diunduh
2. Buka terminal dan navigasikan ke direktori tempat file Gophish diekstrak
3. Jalankan perintah ./gophish untuk memulai Gophish

Instalasi pada Sistem Operasi Windows

1. Ekstrak file zip yang diunduh
2. Buka Command Prompt dan navigasikan ke direktori tempat file Gophish diekstrak
3. Cek dan lihat file config.json. Pastikan bagian-bagian ini sudah sesuai dengan kebutuhan Anda. Secara default Gophish hanya dapat diakses dari localhost. Apabila Anda ingin dapat diakses dari IP atau dari domain maka Anda harus menyesuaikan file config.json. Misalnya kalau Anda ingin agar aplikasi Gophish ingin dapat diakses menggunakan nama domain, maka sample contoh filenya seperti ini. Pastikan file .crt dan .key untuk domain Anda sudah sesuai. Apabila tidak sesuai maka akan timbul error saat perintah nanti perintah gophish.exe dijalankan.

    {

"admin_server": {

"listen_url": "contoh-domain-anda.com:3333",    ---> URL untuk admin 

"use_tls": true,

"cert_path": "contoh-domain-anda.crt",

"key_path": "contoh-domain-anda.key",

"trusted_origins": []

},

"phish_server": {

"listen_url": "0.0.0.0:3334",   -----> URL untuk phish server

"use_tls": false,

"cert_path": "contoh-domain-anda.crt",

"key_path": "contoh-domain-anda.key"

},

"db_name": "sqlite3",

"db_path": "gophish.db",

"migrations_prefix": "db/db_",

"contact_address": "admin@contoh-domain-anda.com",

"logging": {

"filename": "",

"level": ""

}

}

Misalnya kalau aplikasi Gophish di extract pada drive E. Jalankan perintah gophish.exe dari command prompt untuk memulai Gophish.

Apabila berjalan lancar maka aplikasi Gophish dapat diakses dari domain dengan port sesuai file config.json.

Diawal Setelah instalasi Anda akan diminta untuk membuat password Admin. Setelah itu Anda dapat login dan melihat setiap menu yang ada di aplikasi.

4. Memulai Simulasi Phishing dengan Gophish

Setelah Gophish berhasil diinstal, Anda dapat memulai simulasi phishing dengan membuat kampanye baru.

Membuat Kampanye Baru

1. Buka antarmuka web Gophish (biasanya di http://localhost:3333) atau sesuai dengan URL yang Anda buat pada file config.json.
2. Klik tombol "New Campaign" untuk memulai kampanye baru.
3. Berikan nama dan deskripsi kampanye

Untuk membuat kampanye baru Anda harus membuat template email, landing page, URL Pishing server sesuai dari file config.json dan grup email yang akan dikirimkan. 

Menyiapkan Email Phishing

1. Pilih template email yang ingin Anda gunakan atau buat template baru
2. Isi Enveope Sender (nama pengirim email yang akan terlihat oleh pengguna), subjek dan isi email dengan informasi yang relevan
3. Anda dapat menggunakan variabel placeholder untuk mempersonalisasi email

Berikut ini adalah contoh dari sample email template yang sudah disesuaikan dengan tracking.

Yth.

{{.FirstName}} {{.LastName}},

di

Tempat

Dalam rangka meningkatkan keamanan email kedinasan, dengan hormat kami meminta Bapak/Ibu/Saudara seluruh pegawai untuk dapat memperbarui kata sandi akun email dinas minimal 12 karakter dengan menggunakan kombinasi kata sandi yang terdiri dari huruf kapital, huruf kecil, angka, dan karakter unik.

Untuk memperbarui kata sandi Bapak/Ibu/Saudara dapat klik tautan berikut:

Pembaharuan Kata Sandi

Besar harapan kami Bapak/Ibu/Saudara dapat menindaklanjuti tautan pembaruan kata sandi ini dalam kurun Waktu 1x24 jam untuk menghindari penonaktifan akun.

Atas perhatian dan perkenan Bapak/Ibu/Saudara, kami ucapkan terima kasih.

Tim Helpdesk dan Keamanan

{{.Tracker}}

Mengimpor Daftar Target

Apabila daftar pengguna email banyak maka Anda dapat mempersiapkan daftar email pada file CSV kemudian di import ke aplikasi. Anda dapat mendowload dulu template file CSV nya dari menu yang tersedia.

1. Klik menu User & Group, kemudian Klik tombol "Bulk Import User" untuk mengunggah daftar target.  
2. Anda dapat mengimpor target dari file CSV atau database

Membuat Landing Page

Landing Page harus Anda buat dulu agar nanti ketika pengguna yang menerima email mengklik URL akan diarahkan ke landing page ini. Pada landing page kita dapat membuat sendiri atau mengimport langsung / duplikasi tampilan dari website lain. Ini adalah salah satu keunggulan dari gophish. Selain itu Anda juga harus set bagian redirect page, dimana ini digunakan untuk redirect setelah selesai proses di landing page.

Mengkonfigurasi Sending Profile SMTP email

Langkah selanjutnya adalah Anda nanti harus menset SMTP email yang akan digunakan untuk mengirimkan email simulasi phishing ini. 

Meluncurkan Kampanye

1. Setelah semuanya siap, klik tombol "Launch Campaign"
2. Gophish akan mengirimkan email phishing ke target yang diimpor

5. Skenario Penggunaan Gophish

Gophish dapat digunakan dalam beberapa skenario, seperti:

Pengujian Kesadaran Keamanan Karyawan

Dengan meluncurkan kampanye phishing simulasi, Anda dapat menguji dan meningkatkan kesadaran keamanan karyawan terhadap ancaman phishing.

Pelatihan Penanganan Phishing

Gophish juga dapat digunakan untuk melatih karyawan dalam mengenali dan merespons email phishing yang curiga.

6. Tips dan Trik Menggunakan Gophish

Berikut adalah beberapa tips dan trik untuk mengoptimalkan penggunaan Gophish:

Mengoptimalkan Template Email

Gunakan template email yang realistis dan meyakinkan untuk meningkatkan tingkat respons target. Anda dapat mempelajari teknik social engineering untuk membuat email phishing yang lebih meyakinkan.

Mengirim Phishing Multistep

Gophish mendukung simulasi phishing multistep, di mana Anda dapat mengirimkan email lanjutan berdasarkan respons target sebelumnya.

Mengintegrasikan dengan Sistem Lain

Anda dapat mengintegrasikan Gophish dengan sistem lain seperti SIEM, IDS/IPS, atau alat keamanan lainnya untuk memantau dan merespons aktivitas phishing secara lebih efektif.

Memantau dan Menganalisis Hasil

Setelah kampanye phishing selesai, Anda dapat memantau dan menganalisis hasilnya menggunakan antarmuka web Gophish.

Meninjau Pelaporan Bawaan

Gophish menyediakan laporan bawaan yang menunjukkan statistik kampanye, rincian target yang merespons, dan informasi lainnya.

Mengekspor Data untuk Analisis Lebih Lanjut

Jika Anda ingin melakukan analisis lebih lanjut, Anda dapat mengekspor data kampanye ke dalam format CSV atau JSON.

7. Praktik Terbaik Keamanan

Meskipun Gophish digunakan untuk simulasi phishing, penting untuk mengikuti praktik terbaik keamanan berikut:

Mengamankan Instalasi Gophish

Amankan instalasi Gophish dengan menggunakan kata sandi yang kuat, mengaktifkan autentikasi dua faktor, dan membatasi akses hanya dari IP yang diizinkan.

Kebijakan dan Persyaratan Hukum

Pastikan Anda mematuhi kebijakan dan persyaratan hukum yang berlaku saat melakukan simulasi phishing dengan Gophish. Beberapa hal yang perlu diperhatikan:

🏛️ Dapatkan persetujuan tertulis dari manajemen atau pihak berwenang sebelum melakukan simulasi phishing.

⚖️ Patuhi undang-undang dan peraturan terkait privasi data, keamanan informasi, dan perlindungan data di negara atau yurisdiksi Anda.

📝 Buat kebijakan dan prosedur yang jelas mengenai penggunaan Gophish untuk simulasi phishing, termasuk tujuan, ruang lingkup, dan batasan penggunaannya.

💬 Informasikan kepada karyawan atau target bahwa simulasi phishing akan dilakukan untuk tujuan pelatihan dan pengujian keamanan.

🔐 Jaga kerahasiaan informasi sensitif yang mungkin terungkap selama simulasi phishing, seperti kredensial login atau data pribadi.

Dengan mengikuti praktik terbaik keamanan dan mematuhi kebijakan dan persyaratan hukum yang berlaku, Anda dapat menggunakan Gophish dengan aman dan efektif untuk meningkatkan kesadaran keamanan dan melindungi organisasi dari ancaman phishing.

7. Kesimpulan

Gophish adalah alat yang sangat berguna untuk melakukan simulasi serangan phishing dan meningkatkan kesadaran keamanan dalam organisasi. Dengan mengikuti panduan instalasi dan tips yang diberikan dalam artikel ini, Anda dapat dengan mudah memulai kampanye phishing simulasi dan menganalisis hasilnya.

Namun, selalu ingat untuk mematuhi kebijakan dan persyaratan hukum terkait privasi data dan keamanan informasi. Gunakan Gophish dengan bijak dan hanya untuk tujuan yang sah, seperti pelatihan dan pengujian keamanan.

Dengan mengoptimalkan penggunaan Gophish dan mengikuti praktik terbaik keamanan, Anda dapat membantu melindungi organisasi Anda dari ancaman phishing yang semakin canggih.

8. FAQ

P: Apakah simulasi phishing menggunakan Gophish legal?

J: Simulasi phishing menggunakan Gophish dapat legal jika dilakukan dengan persetujuan dan pemberitahuan yang tepat, serta mematuhi kebijakan dan persyaratan hukum yang berlaku. Namun, penting untuk menghormati privasi data dan keamanan informasi.

P: Apakah Gophish bisa digunakan untuk menyerang target eksternal?

J: Tidak, Gophish didesain untuk simulasi phishing internal dalam lingkungan organisasi Anda sendiri. Menggunakan Gophish untuk menyerang target eksternal tanpa izin dapat melanggar undang-undang.

P: Bagaimana cara mengamankan instalasi Gophish?

J: Beberapa langkah untuk mengamankan instalasi Gophish meliputi menggunakan kata sandi yang kuat, mengaktifkan autentikasi dua faktor, dan membatasi akses hanya dari IP yang diizinkan.

P: Apakah Gophish mendukung penyimpanan data dalam database?

J: Ya, Gophish mendukung penyimpanan data dalam database seperti MySQL atau PostgreSQL, meskipun tidak diperlukan untuk penggunaan dasar.

P: Bagaimana cara membuat template email phishing yang meyakinkan?

J: Beberapa tips untuk membuat template email phishing yang meyakinkan adalah dengan menggunakan gaya penulisan dan branding yang mirip dengan organisasi yang berwenang, menggunakan elemen seperti tombol panggilan tindakan, dan memanfaatkan teknik social engineering seperti mendesak atau menakuti target.

Semoga artikel ini membantu Anda dalam memahami instalasi, simulasi, dan praktik terbaik penggunaan Gophish untuk meningkatkan kesadaran keamanan dalam organisasi Anda.