钓鱼系列之浅谈攻防演练利剑之社工钓鱼

 自2019年起，攻防演练对抗中社工钓鱼攻击开始逐渐受红队们青睐，钓鱼属于社会工程学，社会工程学（简称社工）在红队中占据着半壁江山，而钓鱼攻击则是社工中最常使用的套路。钓鱼攻击通常具备一定的隐蔽性和欺骗性，不具备网络技术能力的人通常无法分辨内容的真伪，而针对特定目标及群体精心构造的鱼叉钓鱼攻击则可令具备一定网络技术能力的人防不胜防，可谓之渗透利器。

邮件钓鱼

钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。

钓鱼WIFI

仿造一个假的wifi，欺骗用户登陆，之后窃取用户信息。

伪基站

又称假基站、假基地台，是一种利用GSM单向认证缺陷的非法无线电通信设备，主要由主机和笔记本电脑组成，能够搜取以其为中心、一定半径范围内的GSM移动电话信息，并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信，通常安放在汽车或者一个比较隐蔽的地方发送。

标签钓鱼

标签钓鱼(tabnabbing)是一种新的网络钓鱼攻击手法，该攻击手法是由Mozilla Firefox浏览器的界面及创意负责人Aza Raskin发现和命名的，tabnabbing可改变用户浏览网页的标签及接口，以诱导用户输入网络服务的账号与密码。

鱼叉式网络钓鱼

这是指一种源自于亚洲与东欧，只针对“特定的目标”进行的网络钓鱼攻击！简而言之就是组织一次有目性的，对特定的单位进行钓鱼攻击。

水坑攻击

”水坑攻击”，黑客攻击方式之一，顾名思义，是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是，黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”。

U盘钓鱼

简单来说，就是在U盘里面植入木马或者病毒，进行钓鱼上线。常见的攻击手法就是把U盘扔在目标单位门口，或者你可以社工员工地址信息并邮寄给他。亦或者，可以像某黑客电影或者黑客游戏一样，想办法进入对方大厦到工位电脑上插U盘上马。