如何提升钓鱼的成功率

admin 2021年10月12日01:39:52评论179 views字数 1882阅读6分16秒阅读模式
0x00 前言
本文说的是网络安全领域的“钓鱼”,不是能吃的那个鱼🐟。
小黑做项目时,除了常规的攻击手法外,也经常会使用社会工程学的攻击手法,这里分享一下提升钓鱼成功率需要注意的tips。

0x01 钓鱼攻击介绍
这一章节面向新手,大佬可以跳过直接看0x02。

(1)钓鱼的目的:
获取信息或权限。
信息:身份信息、密码信息、后台路径信息等。
权限:个人机权限、后台权限等。

(2)获取的方式:
想办法让目标下载并运行你的木马,或访问你的恶意链接并进行后续操作。
(简要概括:发马或发链接

难易程度:仅访问恶意链接>访问恶意链接并填写信息>下载并运行木马。

根据不同的目的选择不同的方式,例如:
1、需要抓取目标ip地址:诱导目标访问恶意链接即可。
2、需要获取目标个人信息或密码:诱导对方访问恶意链接,并制作钓鱼页面引导对方主动填写信息或输入密码。
3、需要控制目标机器:诱导对方下载并运行木马。

(3)攻击手法的分类:
刚才说的钓鱼是广义的,这里可以按攻击手法细分成三种:钓鱼攻击、鱼叉攻击、水坑攻击。
1、钓鱼攻击:广撒网,针对目标的一批人员批量发动攻击。
优点:覆盖面大,虽个体成功率低但总体成功率很高(总有一个上当的)。
缺点:容易惊动目标管理员,容易被溯源。

2、鱼叉攻击:针对选择的特定人员发起单点攻击(仿佛拿着鱼叉去叉某一条鱼),在攻击前需要收集人员的信息,并通过主动接触聊天建立信任关系,有时这一过程长达数月(叉鱼前的瞄准过程)。在聊天过程中随机应变的将木马或恶意链接投递过去。
优点:成功率高,且攻击成功后很久都不会引起怀疑.
缺点:费时费力,需要伪装身份和鱼聊天,一般至少要断断续续的聊三次以上才能消除鱼的戒备心理。

3、水坑攻击:在目标人员的必经之路上设置水坑陷阱。最常见的做法是找到鱼经常会使用的系统(后台,oa,邮服等),然后将该系统攻破并植入恶意代码,一旦鱼访问该系统就会中招。
优点:因为目标内部系统自带的信任属性,攻击成功率极高。
缺点:需要首先找到并拿下目标内部系统,需要一定技术实力和运气。

0x02 提升成功率的三要素
小黑总结过提升钓鱼成功率的三个要素:
1、话术的合理性
2、操作的无脑性
3、给对方造成的麻烦

(1)话术的合理性:
这一点很好理解,无论哪种攻击手法,总是需要一个话术来让鱼去运行木马或访问恶意链接。这个话术看起来越合理,成功的概率就会越高

不过有一点例外的是水坑攻击对话术的依赖性没那么高,因为在钓鱼和鱼叉攻击中,鱼是有戒心的,会主动留意你话术中的瑕疵。而水坑攻击中,鱼是带着信任的,哪怕你话术有明显的瑕疵,鱼可能都会选择性忽视或主动脑补帮你圆过去。

通过水坑攻击使对方访问恶意链接甚至不需要话术,比如通过这种方法:
抓ip+端口落地身份的方案

(2)操作的无脑性:
诱导对方下载木马或者访问恶意链接时,尽量一步到位,不要给鱼思考的时间和机会,不要设置弯弯绕绕的步骤,要像喂饼一样把一切都安排好,让鱼做最少的操作。

比如钓鱼攻击时,直接把链接附在邮件正文或把木马附在附件里的成功率是最高的(前提是能绕过邮件网关的检测)。鱼叉攻击时就直接通过IM把木马发过去。水坑攻击时,就直接把木马弹给鱼,千万不要像做谜题一样让鱼去寻找或点击什么按钮。

越无脑越好,你把一切都安排好,鱼只要点一下就上钩了。简单的才是最好的。

(3)给对方造成的麻烦:
这一条的意思是,你要通过话术骗鱼,如果不上钩会有什么严重的后果,这个后果会对鱼造成什么麻烦,越麻烦越好。

以下举例:
钓鱼攻击中,常见的话术有:
安全插件.exe:如果不下载你就会被全公司通报批评。
某部门员工竟然做了这样的事.doc:如果不看这个你就会受到好奇心的煎熬。
考勤管理新规定.zip:如果不看就可能被扣钱。

鱼叉攻击中,我看到过一个实际的案例:
攻击方伪装成客户和目标销售人员聊天,结果发过去的“重要资料”被目标公司的安全软件检测并拦截了。但是攻击方沉着应变,给销售施压说自己时间紧迫,如果不能解决这个问题就换一家买。结果生生逼的销售去找安全人员开了白名单解除封锁。这就是通过给销售施压制造麻烦(可能丢掉一个大单)来达成目的。

水坑攻击,最简单粗暴了:
不运行木马或者不访问这个链接就不让鱼继续使用系统,通过js代码直接跳走或者关掉整个页面,直到鱼上钩后才给恢复。

0x03 后记
这是6.7--6.13这周的更新
社会工程学也是安全技术的一种啦,还是有很多可以深入研究的点呢。
做安全的,到最后实质是搞情报,所以小黑以后还会继续在这个领域研究并分享自己的见解,欢迎大家关注~

END.


喵,点个赞再走吧~

本文始发于微信公众号(小黑的安全笔记):如何提升钓鱼的成功率

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月12日01:39:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何提升钓鱼的成功率http://cn-sec.com/archives/397616.html

发表评论

匿名网友 填写信息