快速搭建邮件钓鱼平台

  • A+
所属分类:安全文章

邮件钓鱼意义

提升企业以及员工的安全意识文化,可以通过有效的模仿攻击和安全意识宣传相结合,企业能从一个攻击者的视角看到安全的不足之处。同时结合安全培训,调整他们的安全反应,使员工成为公司信息安全有效的最后一道防线。

对邮件安全意识方面的宣导,可以通过模拟与员工日常活动相关的攻击,开展邮件钓鱼测试,检测员工对钓鱼邮件的敏感程度,前期以安全专题期刊或安全培训方式进行安全意识宣贯,再通过搭建邮件安全测试系统,对员工进行了邮件钓鱼测试,通过“以测代练”的方式,进一步提升整体信息安全意识水平。

快速实现邮件钓鱼测试的原则是“实现快速、无成本投入、以警示代替测试”。

快速搭建平台

推荐使用Gophish开源项目搭建测试平台,伪造钓鱼页面、发送钓鱼邮件、统计测试效果。

下载安装

https://github.com/gophish/gophish/releases

kali_# unzip gophish-v0.11.0-linux-64bit.zip  -d  gophishkali_# cd gophishkali_# chmod +x gophish

请在配置文件config.json中更改监听地址listen_url为你的主机IP,同时需要使用3333和80两个端口,开启前请确保端口未被占用,特别是请关闭httpd服务。

admin_server.listen_url        [你的主机IP]:3333        #Gophish管理服务器的IP /端口

快速搭建邮件钓鱼平台

启动

kali_# ./gophish……time=”2021-05-14T03:30:20-04:00” level=info msg=”Please login with the username adminand the password 550f53c62fa6ca06“time=”2021-05-14T03:30:20-04:00level=info msg=”Creating new self-signed certificates for administration interfacetime=”2021-05-14T03:30:20-04:00level=info msg=”Starting phishing server athttp://0.0.0.0:80time=”2021-05-14T03:30:20-04:00level=info msg=”Starting admin server at https://192.168.68.75:3333

请使用 https://[主机IP]:3333/ 进行访问管理登录,初次登录修改密码(用户名admin,密码在控制台日志中打印)。

快速配置钓鱼平台

一)配置邮件转发

可以自己搭建邮件服务器,也可以使用免费邮箱的SMTP服务(163/QQ/搜狐/新浪都支持),以下以163网易邮箱为例:

在网易邮箱官方注册一个伪造的邮箱,例如[email protected],登录个人邮箱页面在“设置”中找到SMTP配置之处。

1、开启SMTP服务

快速搭建邮件钓鱼平台2、获取授权登录密码

授权密码在其他平台登录调用时使用,需要记录,后续使用。

快速搭建邮件钓鱼平台3、在Gophish中选择“Sending Profiles”添加邮件发件设置

快速搭建邮件钓鱼平台

配置163邮箱信息,其中Password部分为授权登录密码而非邮箱密码(其他邮箱类似)。

点击“Send Test Email”测试发送邮件成功即可。

快速搭建邮件钓鱼平台

二)配置钓鱼邮件模板

在Gophish中选择“Email Templates”添加邮件正文模板。

快速搭建邮件钓鱼平台

可以通过一个别处保存的邮件“Import Email”来进行导入,也可以直接编辑邮件正文。

其中可用参数请参考官方文档:https://docs.getgophish.com/user-guide/template-reference

诱使“鱼儿”点击的超链接应跳转到伪造页面,伪造页面地址使用占位符参数{{.URL}}。

点击勾选“Add Tracking Image”,将在正文中加载一个隐藏的img,以供统计邮件是否被打开。

快速搭建邮件钓鱼平台

请确认保存后,正文HTML文件中存在{{.Tracker}}标识符。

三)配置伪造页面

配置伪造页面,即诱使“鱼儿”点击跳转到的假的钓鱼网站页面。

1、在Gophish中选择“Landing Pages”添加伪造页面。

快速搭建邮件钓鱼平台

可以通过点击“Import Site”输入网址进行网站克隆(部分动态页面无法加载),也可以加载后手动修改,甚至可以将真实网站页面加载的所有文件保存到本地服务器,修改html文件。

注意:请勾选“Capture Submitted Data”、“Capture Passwords”来获取提交的数据(账号密码)。

“Redirect to”是“鱼儿”在伪造页面提交账号密码后跳转到的具体页面,可以是真实网站,也是以是一个警示页面,提醒他已经中招钓鱼邮件,应提高安全意识。

四)添加钓鱼对象

在Gophish中选择“Users & Group”添加邮箱分组和攻击对象的邮箱。

快速搭建邮件钓鱼平台

启动钓鱼挑战

在Gophish中选择“Campaigns”新建一次钓鱼攻击测试。

快速搭建邮件钓鱼平台

选择邮件模板、伪造钓鱼页面,URL是监听的主机IP,选择要钓鱼的对象邮箱,选择时间立即开始。

受攻击对象在邮箱内收到钓鱼邮件后,打开邮件、点击链接、提交登录数据等都会被记录。

快速搭建邮件钓鱼平台

点击邮件中超链接后,会跳转到我们伪造的页面:

快速搭建邮件钓鱼平台

在伪造页面提交登录信息后,可以跳转到指定的网站,我们设计了一个警示页面。

快速搭建邮件钓鱼平台

至此,受害者打开邮件、点击链接、提交账号密码都会被捕获。

快速搭建邮件钓鱼平台

多样化测试

针对企业内部不同部门的岗位,可以设置不同的攻击方式,设计不同的场景。

场景 对象 伪造系统 钓鱼方式 获取内容 结果
场景一 人事部 内部OA登录 正文中附链接 账户密码 真实OA登录
场景二 IT部门 内部OA登录 正文中附链接 账户密码 安全警告网页
场景三 行政/财务部门 NCC/采购 我是老板,加QQ群,紧急采购付款 QQ 钓鱼演示
场景四 产品部门 / 寻求产品合作,附件文件后门 主机权限 获取权限演示
场景五 X部门 / XX软件安装 勒索加密 勒索加密演示

安全启示

加强账户口令整改

定期提醒员工修改过期密码;定期梳理邮箱账户,对长期未使用的账户进行封禁;定期进行口令安全测试,避免弱口令。

安全意识提升

通过多种方式不断进行信息安全意识宣传(宣传刊物+培训+钓鱼测试+警示)。

定期进行安全测试

定期进行不同部门具有针对性场景的不同方式的钓鱼测试活动,通过检验来促进安全意识提升。

觉得不错点个“赞”、“在看”,支持下小编快速搭建邮件钓鱼平台



本文始发于微信公众号(乌雲安全):快速搭建邮件钓鱼平台

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: