基于社工的钓鱼研究

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

      在近年来的红蓝对抗中，钓鱼攻击一如既往的受攻击者们青睐。而钓鱼的核心思路便是从受害者角度出发，正如那句话：没有绝对安全的系统，本身人就是一个漏洞，人性的漏洞你是不可避免的，搭配了社会工程学，我们钓鱼攻击能更加深入的拓展开来。本次主要分享的是钓鱼的一些操作流程，注意点，以及提高受害者上钩成功率的小技巧，主要以邮件钓鱼为主展开研究。ps：邮件模板借鉴了团队恩格尔师傅的经验

      所谓“姜太公钓鱼，愿者上钩”，很生动形象的描述了钓鱼攻击。

常见的钓鱼手法的分类：

· 冒充CEO欺诈或商务邮件欺诈

      简单来说就是网络罪犯假装自己是公司的CEO或其他高管、经理等，向级别较低的员工（通常是会计或财务部门的员工）发送电子邮件，这些电子邮件的目的是让受害者将资金转移到一个虚假账户。//当然这里不仅仅是做一些金钱诈骗，也用来投放木马病毒。

· 克隆网络钓鱼攻击

      利用受害者已经收到的合法信息，创建一个恶意版本，使得带有恶意链接的信息看上去是来自合法的电子邮件地址发送的。经常以上一封电子邮件的链接有问题为由，要重新发送原始邮件，来诱导用户点击克隆的钓鱼邮件。

· 网络诈骗【电话诈骗、短信诈骗】

      通过向用户发送短信，如中奖信息等诱导用户点开链接，通过电话方式诈骗，骗取受害者钱财。他们会假扮成银行的人，医院的人，警察等进行诈骗或伪造官方人员引导目标进行危险操作，例如下载安装恶意软件等。

· 水坑钓鱼攻击

      水坑钓鱼会攻击公司员工经常访问的网站，并感染其中一个网站并植入恶意软件。攻击者会去感染为您的公司提供服务的供应商的网站，这样当你或你的员工访问该网站时，你的电脑会自动装载恶意软件，这样攻击者就能访问您的网络、服务器和敏感信息（如个人信息和财务信息）。

· 域名欺骗 

      这种攻击方法使用电子邮件或欺诈网站。网络罪犯伪造了一个新的电子邮件头，使它看起来像是来自一家合法公司的电子邮件地址。或者创建一个欺诈网站，让它的域名看上去是合法的，或与合法公司的域名相似

· wifi钓鱼

      尤其是在一些公共场合，攻击者伪装成合法的WiFi接入点，在用户不知情的情况下收集个人或公司信息，甚至还会窃取用户的账户名和密码。

· 捕鲸钓鱼

      捕鲸钓鱼是鱼叉式钓鱼的一种，与CEO欺诈相反。攻击者的目标不是低层人员，而是高层管理人员，如CEO、CFO等，其目的是诱使高管输入敏感信息和公司数据。这类攻击通常使用电子邮件和网站诈骗。与一般网络钓鱼邮件不同的是这种攻击会通过互联网和各种社交媒体平台获取受害者的姓名、职位和基本细节。

     简单阐述一下钓鱼攻击的“七步走”：

· 信息收集

     收集目标信息（包括组织架构、业务功能、人员情况等），大致明确该目标的几个点（是

什么、做什么、如何运营、规模大小、当前需求）    //当前需求指的是人员招聘、意向合作等。

这一步主要是为接下来的攻击计划制定。

· 了解收集到的信息

     对所收集到的信息进行解读，分析，抓取信息核心，确定可利用的条件项。

· 计划安排

     根据初步所了解到的大致情况，制定攻击计划

· 一个合理迫切的借口

     寻找一个切入口，例如应聘职员、商务意向合作等为由尝试进行接触。

· 有效的payload

     构造有效的攻击payload，例如监听程序、远控马、钓鱼网站等。

· 一个让人信服的的内容或者网站

     组织语言、通过令人信服的内容、网站等来降低目标的防范警惕心理。

· 计划是否成功

     实时跟进进展。

      在进行一次邮件钓鱼的时候，也并非轻而易举，在我们进行套路之前，我们得保证邮件能够顺利合规的送达到目标手上。因此我们得满足以下几个条件：

1、必须能够顺利穿越反垃圾邮件防火墙，含邮件内容与邮件标题；(主要是针对一些有进行邮件安全监测的目标，会自动的将带有敏感字眼的邮件进行拦截。)

2、图片一定要高清，并且能自动适应所有邮件客户端；

3、邮件发送地址一定要有高度相似性，并且要采用别人熟悉的别名；

4、钓鱼地址尽可能采用域名，并于大家熟悉的域名具有相似性，如com与cn、gov与gov.cn;

5、钓鱼地址尽可能拟真化，最好还带有点可读性，如“changePass/[MD5]”串；（迷惑行为，其实也是为了间接的降低目标的警惕性）

6、钓鱼页面一定要高度相似性，最好能直接扒下所有的样式；

      钓鱼的核心在于对于人员心理的推测，因此采用的钓鱼方式应以一种能够令人接受、令人信服的文案、理由进行，所以“鱼饵”选取的难点就在于人们的阅读习惯以及该企业文化。要想做出高质量的钓鱼邮件，那么行文风格、布局、落款、签名、LOGO、主题都是需要仔细打磨的地方，细节打磨得越逼真，那么中招的人将成倍增加。

      说其困难，是因为这方面的资料很少外泄、或者不会明面上泄露出来，所以如果内外结合的话，或者平时注意收集，那么企业内部中招的可能性极高。

      习惯性的惯性是难以抵抗的。

      接下来列举几种较为通用性的钓鱼模板：

A.投诉邮件

攻击手段：

根据官网搜集到目标咨询及投诉渠道获取邮箱账号,

发送钓鱼邮件附件为带有office宏攻击代码的word文档。

邮件模版：

xxx银行您好：

我是贵方银行的用户，我于X月X日与行方在线客户进行业务咨询，但是编号XXX客服服务态度恶劣且怠慢，非但没能解决我的问题，还给我带来很不好的用户体验。相关聊天信息已记录在文档里，请行内人员尽快给一个处理的结果。

B.项目合作

攻击手段：

根据官网搜集到公司的业务功能、合作的企业信息及联系方式,

发送钓鱼邮件附件为带有office宏攻击代码的word文档。

邮件模版：

xxx公司您好：

我是xxx公司市场营销部的xxx，我在贵公司官网上了解到贵方有提供xxx业务服务（或经xxx合作商推荐）。满足本公司的项目需求，故有合作意向，以下为本公司的项目合作意向书，请查阅。希望能与贵方合作共赢！

C.求职邮件

攻击手段：根据招聘信息对招聘邮箱进行钓鱼邮件攻击，发送带有宏代码的简历文档，及免杀的exe程序。

邮件模板：

您好：

看到贵公司官网在招聘产品开发岗，本人7年金融证券相关产品开发经验，具有较为丰富的项目经验，主要擅长Java、C++等语言，附件是本人开发的作品及个人简历，还请贵司查看，期待您的回信，谢谢。

D.官方通告

攻击手段：以当下处于攻防演练为话题，通过百度网盘分享带有木马的文件链接。

邮件模版：

各位防守方人员好：

    应XX集团2020攻防演练举办方需求，本公司承担统筹工作，现对防守方的演练平台使用操作手册以及人员工作安排进行同步，请各位严格阅读并执行！

    今年攻击方的攻击力度很大，可能出现0day攻击，各防守方人员在平台上及时获取指挥中心的重要安排信息以及提交防守成果。

    所有资料严禁外传泄露，违者追责，如有任何疑问，及时反馈。

    希望大家能够积极配合，让我们打一场漂亮的仗！

链接:https://pan.baidu.com/x/test 提取码:AHXX

PS：由于资料重要，只共享一天，请及时下载，过后不再共享！

    从上述四个模板，我们可以说“一切都是如此的自然”，因为这些都是源自于企业业务、源自于生活。因为目标正好有这些需求，而邮件都符合这些需求，自然而然的也就容易令人接受，不起疑心。

而这些模板的灵感来源我们可以通过去实操目标的一些业务功能，探查目标官网信息，来构造。但是有一点得注意的是，不可凭空捏造，因为无中生有最容易让人起疑心。

    当一切的工作准备完毕，我们需要考虑的便是其他因素了。

· 天时

     我们知道人随着工作生活的进行，人的状态（大脑反应、意识强弱等）都会随之变化，例如人中午犯困时，中招的几率远远高于头脑清醒时，或者人在情绪受挫、负面情绪下，对于一些事情的判断能力往往远不如正常情况下，当然这一块我们无法把握，而我们能够把握的便是前者，也就是目标人群的工作时间、休息时间。按一般情况来说，在午休时间结束前的半小时之内、以及上下午工作后的二至三小时后都是趋于状态不佳的时间段。这段时间进行钓鱼，成功几率往往会大于其他时间点。

· 地利

     地利，其实也就是对于目标的选择，我们知道不同的企业，对于信息安全的重视与投入均不同，这类企业员工的安全意识相对的都会低于一些大型公司企业。因此我们可以选择从一些薄弱的目标下手。

· 人和

     人和与地利相似，地利是选择目标企业，而人和则是企业中人员类型的选取。要知道没有一个企业能够说做到面面俱到，因为每个部门之间负责的工作方向都不同，好比信息安全部的人员对于安全威胁的警觉肯定是会高于一些后勤部门、客服人员。因此若我们掌握到了较多的目标人员信息，我们可以考虑筛选进行针对性钓鱼。

钓鱼本就是一种套路，我设圈，你来跳，姜太公钓鱼—愿者上钩，那么如何让人家不自觉的跳入你设的坑呢，这一切从人的属性说起，相信大众普遍都有一些属性，列举三个，例如：爱贪小便宜、好奇、贪图便利等等。

      a.爱贪小便宜此类比较适用于线下社工钓鱼，通过举办优惠活动，制作钓鱼链接，达到一种以假乱真的形式，钓取目标的个人信息，亦或者执着badusb，通过抽奖活动形式赠送出去。

      b.好奇属性，完全可以借助失物来配合，例如将badusb U盘遗落在园区人流大的地方，待到人捡起后，正常情况是会好奇U盘里有什么信息，因为这也有助于找回失主，那么就很自然的插入badusb了。

      c.贪图便利，其实抓取的就是人的一个惰性。假设若当你收到一个压缩包，打开后发现根目录下有一个文档文件，多个文件夹，且文件夹里又含有多层，按照正常人的做法，一般是习惯性的直接打开文档，（此文档为带有office宏攻击代码的word文档），且不会逐层的去翻阅文件夹，因为繁琐麻烦。故当我们发起邮件钓鱼的时候，便可构造一个含有多层文件夹的压缩包，来形成一个合理的文件，降低目标的警惕心，诱引目标点击“攻击”文档。

      本文主要分享的仅仅是钓鱼的一些流程及思路手段，核心便在于如何把握人心，采用一个合适的理由、符合目标需求的做法，往往会产生不错的效果。好比制作免杀exe的成功关键便在于一个友好的ico图标和合情合理的话术（故在平时做测试的时候可以考虑收集各行业企业的ico图标）。“钓鱼，源自生活、源自人心”。