本文说的是网络安全领域的“钓鱼”,不是能吃的那个鱼🐟。
小黑做项目时,除了常规的攻击手法外,也经常会使用社会工程学的攻击手法,这里分享一下提升钓鱼成功率需要注意的tips。
想办法让目标下载并运行你的木马,或访问你的恶意链接并进行后续操作。
难易程度:仅访问恶意链接>访问恶意链接并填写信息>下载并运行木马。
1、需要抓取目标ip地址:诱导目标访问恶意链接即可。
2、需要获取目标个人信息或密码:诱导对方访问恶意链接,并制作钓鱼页面引导对方主动填写信息或输入密码。
刚才说的钓鱼是广义的,这里可以按攻击手法细分成三种:钓鱼攻击、鱼叉攻击、水坑攻击。
1、钓鱼攻击:广撒网,针对目标的一批人员批量发动攻击。
优点:覆盖面大,虽个体成功率低但总体成功率很高(总有一个上当的)。
2、鱼叉攻击:针对选择的特定人员发起单点攻击(仿佛拿着鱼叉去叉某一条鱼),在攻击前需要收集人员的信息,并通过主动接触聊天建立信任关系,有时这一过程长达数月(叉鱼前的瞄准过程)。在聊天过程中随机应变的将木马或恶意链接投递过去。
缺点:费时费力,需要伪装身份和鱼聊天,一般至少要断断续续的聊三次以上才能消除鱼的戒备心理。
3、水坑攻击:在目标人员的必经之路上设置水坑陷阱。最常见的做法是找到鱼经常会使用的系统(后台,oa,邮服等),然后将该系统攻破并植入恶意代码,一旦鱼访问该系统就会中招。
优点:因为目标内部系统自带的信任属性,攻击成功率极高。
缺点:需要首先找到并拿下目标内部系统,需要一定技术实力和运气。
这一点很好理解,无论哪种攻击手法,总是需要一个话术来让鱼去运行木马或访问恶意链接。这个话术看起来越合理,成功的概率就会越高。
不过有一点例外的是水坑攻击对话术的依赖性没那么高,因为在钓鱼和鱼叉攻击中,鱼是有戒心的,会主动留意你话术中的瑕疵。而水坑攻击中,鱼是带着信任的,哪怕你话术有明显的瑕疵,鱼可能都会选择性忽视或主动脑补帮你圆过去。
通过水坑攻击使对方访问恶意链接甚至不需要话术,比如通过这种方法:
诱导对方下载木马或者访问恶意链接时,尽量一步到位,不要给鱼思考的时间和机会,不要设置弯弯绕绕的步骤,要像喂饼一样把一切都安排好,让鱼做最少的操作。
比如钓鱼攻击时,直接把链接附在邮件正文或把木马附在附件里的成功率是最高的(前提是能绕过邮件网关的检测)。鱼叉攻击时就直接通过IM把木马发过去。水坑攻击时,就直接把木马弹给鱼,千万不要像做谜题一样让鱼去寻找或点击什么按钮。
越无脑越好,你把一切都安排好,鱼只要点一下就上钩了。简单的才是最好的。
这一条的意思是,你要通过话术骗鱼,如果不上钩会有什么严重的后果,这个后果会对鱼造成什么麻烦,越麻烦越好。
安全插件.exe:如果不下载你就会被全公司通报批评。
某部门员工竟然做了这样的事.doc:如果不看这个你就会受到好奇心的煎熬。
攻击方伪装成客户和目标销售人员聊天,结果发过去的“重要资料”被目标公司的安全软件检测并拦截了。但是攻击方沉着应变,给销售施压说自己时间紧迫,如果不能解决这个问题就换一家买。结果生生逼的销售去找安全人员开了白名单解除封锁。这就是通过给销售施压制造麻烦(可能丢掉一个大单)来达成目的。
不运行木马或者不访问这个链接就不让鱼继续使用系统,通过js代码直接跳走或者关掉整个页面,直到鱼上钩后才给恢复。
社会工程学也是安全技术的一种啦,还是有很多可以深入研究的点呢。
做安全的,到最后实质是搞情报,所以小黑以后还会继续在这个领域研究并分享自己的见解,欢迎大家关注~
END.
喵,点个赞再走吧~
本文始发于微信公众号(小黑的安全笔记):如何提升钓鱼的成功率
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/397616.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论