基于邮件钓鱼的员工安全意识培训

前言

在企业安全建设过程中，员工安全意识培训是极为重要的一环。企业基于钓鱼邮件方式开展员工安全意识教育可以有效的提升其风险认知水平、建立企业员工行为规范。相比讲师授课、张贴海报等传统教育方法，其培训效果精准度更高、灵活性更强，是投入产出比较高的网络安全意识培训方式之一。

目前国内常见的邮件钓鱼主要分为两种，其常见的一种攻击方式是直接通过二维码，内嵌链接、索要敏感信息等方式对运维人员、内部人员进行钓鱼攻击，另一种则是通过携带exe、execl、word等附件（附件中要么包含恶意宏代码、要么是远控exe）的方式，诱导点击相关的附件，以达到控制对方的计算机权限。

文字太多啦，配个图哈~

人永远是最大的弱点，未知攻，焉知防。在企业安全建设中，主动开展针对员工的钓鱼仿真测试，通过以攻促防的方法对提升企业以及员工的安全意识有较大的帮助。

本篇文章主要分享如何通过Gophish及EwoMail快速搭建邮件钓鱼平台。废话不多说，让我们开始吧~

前期准备

• 购买与目标站点相近的域名，多准备几个（比如你需要针对某某公司进行钓鱼，公司邮箱使用的是[email protected],则可购买相类似的域名，如：al1yun.com，将i变成1，如果不仔细去看的话，一般员工会认为该钓鱼网站就是公司的官网地址）

PS：更便捷的方法是在godaddy上购买域名，不用装邮件服务器

• 1台vps (最好是国外的) ，操作系统：centos7/8
• Gophish的版本v0.9.0
• EwoMai的版本v1.06

具体搭建过程

1. Gophish

STEP1：

yum -y install unzip zip
wget https://github.com/gophish/gophish/releases/download/V0.9.0/gophish-v0.9.0-linux-64bit.zip
sudo mkdir -p /app/gophish unzip gophish-v0.9.0-linux-64bit.zip -d /app/gophish/ && cd /app/gophish/

STEP2： 修改config.json，要注意：

• admin_server 把 127.0.0.1 改为 0.0.0.0，然后最好不要使用默认的 3333 端口，亲测这个端口可能因为某种人为因素不通，改为 443 是最稳的。
• listen_url 也要是 0.0.0.0，如果 80 端口被占用了可以改为其他端口比如 81。

STEP3： 运行：./gophish &

STEP4： 打开http://IP:admin_server的监听端口 比如我的就是

https://142.X.X.X:443

STEP5： 使用默认账号密码admin/gophish登陆即可

到此，Gophish便搭建完成啦！

2. EwoMail搭建

此处直接按照官方文档进行一步步搭建并配置域名即可，没什么坑点

http://doc.ewomail.com/docs/ewomail/jianjie

注意：配置完之后记得在服务器执行以下命令测试你的端口是否正常

yum install telnet -y
telnet smtp.xx.com 25

出现220字样才是正常的。25端口正常的情况下，如果不能连接服务器，请检查域名DNS解析。

3. GopHish活动建立

简单介绍一下Gophish的几个功能:

了解这些功能之后，然后开始配置吧~

STEP1： 在 Account Settings 页面修改下admin的默认密码，更加安全。

STEP2： 编辑 Sending Profiles

From那边的配置，填成 fullname <[email protected]>，可增加仿真效果，如图所示：

注意点：此处需要注意的是Host处，不能采用smtp默认端口：25端口。大部分的云厂商存在监管要求，为防止滥用都将25端口禁用了。因此可采用带有SSL的SMTP服务的465端口。

配置完成后，需要测试一下是否可正常发送邮件，使用如下自带的测试功能（Send Test Email）

如下是我的163邮箱收到的测试邮件：

STEP3： 编辑 Email Templates

顾名思义，邮件模板，不再赘述(务必结合业务场景，进行仿真，下面将介绍)

注意可以添加附件。  为了后续记录邮件是否打开，可勾选上AddTrackingImage。它将会在发送的每份邮件源码上插入一个唯一特定的隐藏图片，当邮件被打开时，此隐藏图片则也会被请求，以此来检测该邮件是否被打开。AddFiles则是给邮件添加附件，如下是官方提供的其他可以使用的参数。

STEP4： 编辑 Users&Groups

注意：可导入CSV。

STEP5： 编辑 Landing Pages

配置好钓鱼邮件后，就可以通过LandingPages模块来新建钓鱼网站页面，此处支持手写 html文件，也可通过导入网站功能，针对目标网页进行克隆。如果需要网站克隆，推荐使用setookit（https://github.com/trustedsec/social-engineer-toolkit），里面有个site cloner功能，网上有相关教程，我就不详细描述啦。

注意点： Landing Pages一定要填，要不然会报错。

STEP6： 编辑 Campaigns

配置Campaigns ，填写Name > 选择钓鱼邮件模板 > 选择钓鱼网站模板 > 填写钓鱼网站 URL > 填写发件邮箱 > 选择受害者邮件组。

注意点：其中钓鱼网站URL根据实际钓鱼邮件测试情况，URL 要填写 Gophish 监听器的端口，也就是之前在 config.json 中设置的第二个 URL。

设置好了之后点击Launch Campaign，即可成功发起一次钓鱼邮件攻击测试。

最后，可通过Dashboard-仪表板查看钓鱼邮件测试的实际情况。

传统功夫，点到为止。

业务场景

针对新员工

针对新员工，由于安全意识比较薄弱，可以以最近某段时间的最新时事展开钓鱼，比如：新冠疫情，可以以它为一个钓鱼点，发送相关的钓鱼邮件，获取员工相关账号和密码，或者员工的个人敏感信息，如姓名、***号、家庭住址、家庭情况等敏感信息。

针对人力部门

以内推简历为由，然后伪造内部员工的名字，发送简历附件。

或根据最新爆发的漏洞，然后以伪造公司安全运维管理部门的钓鱼邮箱给全体员工发送为防范最新漏洞，现已将最新漏洞补丁通过邮件附件形式发放，需要大家下载附件中最新漏洞补丁（exe为免杀的远控木马等）。

针对运维部门

根据平时的日常办公问题，以咨询“网站无法打开”为由，诱导运维人员打开网站。

服务器告警、域名到期等等~无非就是写小作文，编个故事，你可以的！

针对财务部门

掐准发工资日，伪造内部任意员工的名义对工资产生疑问给财务部门发送邮件，诱导财务小姐姐打开附件。

实战演练

以新员工为例，根据上述的钓鱼场景，构造了一个人力资源的邮件，钓取新员工的个人账号或者***等敏感信息。

发送成功之后，不到2小时，不少员工中招

成功收获了一波账户和密码~~

因为本次演练主要是以提高新员工的安全意识为主，所以到这边就完结撒花了 。

你可能有很多问号，就这？？？

当然不是...........

总结回顾

由以上几节可以看出，钓鱼邮件平台搭建挺容易的，但是如何有效地实施安全意识培训就比较有挑战了。根据实际经验总结了几点：

• 不要单独做这件事，要让其他团队也有参与感
• 邮件内容尽量和员工日常活动相关
• 定期开展钓鱼测试（每月/次），关注并及时调整员工的安全反应
• 模拟钓鱼邮件必须仿真（尽可能还原真实的攻击和方法）。最好在钓取员工信息之后，结合安全培训，针对获取的信息进行一次更深入的攻击演练：登录系统->上传webshell->抓包、改包->访问->冰蝎连接->最高权限

在日常的运营中，选择可以引起员工、项目的关键支持者共鸣的一些素材，及时的撰写专业的解读、分析、经验总结，赢得大家实在的信任，也有助于提升安全团队的专业形象，并且给所有人一种“公司有这群人在负责我们的安全，靠谱”的印象。

Reference

• https://www.secpulse.com/archives/147030.html
• https://www.cnblogs.com/coldd/p/14073684.html
• https://github.com/L4bF0x/PhishingPretexts/blob/master/Phishing%20Pretexts/PayrollStateTaxIssue
• https://gitee.com/laowu5/EwoMail

- END -