最近公司准备模拟一次邮箱钓鱼来判断公司员工整体的安全意识。本来以为是一件很简单的事情,在实施的过程中却遇到了各种各样的问题。简单记录一下,供大家参考,同时大家对于邮箱钓鱼有什么好的想法(操作),欢迎大家前来讨论。
0x01 什么是邮箱钓鱼?
0x02 设计钓鱼场景
2)冒充公司供应商,如IT设备供应商升级设备,信息通知邮件等
3)个人相关,如银行通知,个人喜好(需要对员工有足够的了解)
我们要大规模的进行钓鱼所以选择冒充公司内部员工,我们就选用了一个最中规中矩的场景,那就是邮箱数据迁移。下面是我们一个简单的模板:
各位员工,大家好:由于公司邮箱密码泄露,公司企业邮箱计划进行迁移,麻烦大家扫描下面的二维码进行登记。
0x03 设计钓鱼网站
为了让网站更加真实,需要解决浏览器显示域名的问题,我们使用了下面的两种方式:
1)申请一个跟你们公司域名相近的域名,用来伪装。如你们公司的域名为lala.com,你可以申请一个la1a.com的域名。这样在不仔细看的情况下会认为是公司内部域名,降低员工的防范。
2)还可以通过二维码的方式让员工去扫描,有的手机在用微信浏览器访问二维码的时候不会显示域名,这样也可以起到一定的伪装作用。
0x04 生成钓鱼邮件并发送钓鱼邮件
1)通过url进行钓鱼,最常用的方式,要做好链接的伪装。
2)通过二维码,比url方式更加隐蔽,不会直接显示链接。
3)通过恶意文件,引诱点击并运行。现在公司电脑一般都装有杀软,因此一定要找经过免杀的。
这可以根据自己的需要去选择合适的方式。
现在场景和钓鱼网站都已经准备好了,接下来就是要根据设计好的场景和网站生成一封钓鱼邮件了。钓鱼邮件编写和发送的过程中遇到了一个非常严重的问题,那就是发件人如果是非公司的邮箱会显示发件人的邮箱。这样员工在看到发件人邮箱以后就会提高警惕,导致钓鱼失败。
这个可以通过伪造邮箱以及申请相似的域名来解决。
1)邮箱伪造
因此这种方式不一定有用,可以通过dig或者nslookup来查看是否设置了SPF。
2)申请相似的域名
这个跟设计钓鱼网站时相同,我们可以通过申请相似的域名进行伪造
在发件人地址那里设置足够长的空白字符,这样通过客户端查看邮箱的时候就可能看不到真正的邮箱地址,只能看到前面的发送人名字。这个要提前测试好。
0x05 统计并总结
作者:Notadmin,文章转载于FreeBuf.COM
• 往期精选
下方点击关注发现更多精彩!
原文始发于微信公众号(银河护卫队super):邮箱钓鱼那些事
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论