Кратко: Gophish — открытая платформа для симуляции фишинговых атак. Отправляйте поддельные письма, отслеживайте, кто нажал на ссылку и ввел пароль, стройте отчеты. Написан на Go, работает через веб-интерфейс, дружит с SQLite. Создан, чтобы компании тестировали защиту до того, как это сделают настоящие хакеры.

▫️ Как дошли до жизни такой Фишинг — самый популярный вектор атак (90% взломов начинаются с письма). Gophish создавался как бесплатная альтернатива платным enterprise-решениям. В 2025-2026 годах его активность у злоумышленников выросла на 17%, войдя в топ-5 вредоносной инфраструктуры.

▫️ Как это работает Четыре модуля Gophish: 1. Sending Profiles (SMTP): Настраиваете почтовый сервер (Google, Mailgun, свой), от имени которого идёт рассылка. 2. Email Templates: Создаете письмо. Главное условие — в нём должна быть ссылка. 3. Landing Pages: Создаете поддельную страницу входа (копию Office 365 или Google), чтобы ловить логины и пароли. Gophish умеет импортировать настоящие сайты. 4. Users & Groups: Загружаете список email-ов сотрудников. Объединяете в Кампанию. Gophish запускает рассылку и собирает статистику: кто открыл письмо (отслеживающий пиксель), кто нажал на ссылку, кто ввел данные.

▫️ Боевая настройка Если отправить письмо с HTTP-ссылки на IP-адресе — оно улетит в спам. Реальная симуляция требует подготовки: 1. Домен (Typosquatting): Регистрируете похожий на корпоративный (вместо google.com — gooogle.com). 2. SSL-сертификат (HTTPS): Письмо должно вести на безопасный сайт. Выдаётся бесплатно через LetsEncrypt. 3. VPS (Хостинг): Ставите Gophish на удалённый сервер. 4. Прокачка писем (Deliverability): Настраиваете DNS-записи домена — SPF, DKIM, DMARC, чтобы письмо не ушло в спам.

▫️ Культурный феномен Gophish легализует «тёмные» навыки. Сисадмин может почувствовать себя хакером, создавая поддельные страницы и ловя коллег на уловку. Это выводит обучение безопасности на новый уровень: вместо скучных лекций — реальный опыт.

▫️ Плюсы и минусы Плюсы: · Бесплатно и открыто · Полный цикл: от письма до отчёта в Excel · Простая веб-морда Минусы: · Не умеет красть сессии (только пароли) · VPS может попасть в спам-лист · Нельзя отправлять с легальных серверов компании

▫️ Современное положение (2026) Gophish — золотой стандарт для джуниор-пентестеров и малого бизнеса. Мир уходит в «умный фишинг»: исследователи из Purdue создали надстройку PishWife — AI-агент на базе LLM, который генерирует персонализированные письма для каждой жертвы и подстраивает сложность атаки под результат предыдущей.

Главный вывод: Gophish — ваш личный полигон для отработки защиты от социальной инженерии. Узнайте, кто в вашей компании клюет на наживку, а потом покажите им этот пост и объясните, как работает двухфакторная аутентификация.

#gophish #фишинг #социальнаяинженерия #пентест #инфобез #кибербезопасность