安全矩阵

 找回密码
 立即注册
搜索
查看: 2371|回复: 0

快速构建邮件钓鱼实践

[复制链接]

221

主题

233

帖子

792

积分

高级会员

Rank: 4

积分
792
发表于 2021-6-6 09:04:48 | 显示全部楼层 |阅读模式
快速构建邮件钓鱼实践原创 两块 FreeBuf 昨天
邮件钓鱼意义提升企业以及员工的安全意识文化,可以通过有效的模仿攻击和安全意识宣传相结合,企业能从一个攻击者的视角看到安全的不足之处。同时结合安全培训,调整他们的安全反应,使员工成为公司信息安全有效的最后一道防线。
对邮件安全意识方面的宣导,可以通过模拟与员工日常活动相关的攻击,开展邮件钓鱼测试,检测员工对钓鱼邮件的敏感程度,前期以安全专题期刊或安全培训方式进行安全意识宣贯,再通过搭建邮件安全测试系统,对员工进行了邮件钓鱼测试,通过“以测代练”的方式,进一步提升整体信息安全意识水平。
快速实现邮件钓鱼测试的原则是“实现快速、无成本投入、以警示代替测试”。
快速搭建平台推荐使用Gophish开源项目搭建测试平台,伪造钓鱼页面、发送钓鱼邮件、统计测试效果。
下载安装
https://github.com/gophish/gophish/releases
  1. kali_# unzip gophish-v0.11.0-linux-64bit.zip  -d  gophish
  2. kali_# cd gophish
  3. kali_# chmod +x gophish
复制代码
请在配置文件config.json中更改监听地址listen_url为你的主机IP,同时需要使用3333和80两个端口,开启前请确保端口未被占用,特别是请关闭httpd服务。
admin_server.listen_url        [你的主机IP]:3333        #Gophish管理服务器的IP /端口

启动
  1. kali_# ./gophish
  2. ……
  3. time=”2021-05-14T03:30:20-04:00” level=info msg=”Please login with the username adminand the password 550f53c62fa6ca06“
  4. time=”2021-05-14T03:30:20-04:00” level=info msg=”Creating new self-signed certificates for administration interface”
  5. time=”2021-05-14T03:30:20-04:00” level=info msg=”Starting phishing server at
  6. http://0.0.0.0:80“

  7. time=”2021-05-14T03:30:20-04:00” level=info msg=”Starting admin server at https://192.168.68.75:3333“
复制代码
请使用 https://[主机IP]:3333/ 进行访问管理登录,初次登录修改密码(用户名admin,密码在控制台日志中打印)。
快速配置钓鱼平台一)配置邮件转发可以自己搭建邮件服务器,也可以使用免费邮箱的SMTP服务(163/QQ/搜狐/新浪都支持),以下以163网易邮箱为例:
在网易邮箱官方注册一个伪造的邮箱,例如hr-aliyun@163.com,登录个人邮箱页面在“设置”中找到SMTP配置之处。
1、开启SMTP服务
​2、获取授权登录密码
授权密码在其他平台登录调用时使用,需要记录,后续使用。
​3、在Gophish中选择“Sending Profiles”添加邮件发件设置

配置163邮箱信息,其中Password部分为授权登录密码而非邮箱密码(其他邮箱类似)。
点击“Send Test Email”测试发送邮件成功即可。

二)配置钓鱼邮件模板在Gophish中选择“Email Templates”添加邮件正文模板。

可以通过一个别处保存的邮件“Import Email”来进行导入,也可以直接编辑邮件正文。
其中可用参数请参考官方文档:https://docs.getgophish.com/user-guide/template-reference
诱使“鱼儿”点击的超链接应跳转到伪造页面,伪造页面地址使用占位符参数{{.URL}}。
点击勾选“Add Tracking Image”,将在正文中加载一个隐藏的img,以供统计邮件是否被打开。

请确认保存后,正文HTML文件中存在{{.Tracker}}标识符。
三)配置伪造页面配置伪造页面,即诱使“鱼儿”点击跳转到的假的钓鱼网站页面。
1、在Gophish中选择“Landing Pages”添加伪造页面。

可以通过点击“Import Site”输入网址进行网站克隆(部分动态页面无法加载),也可以加载后手动修改,甚至可以将真实网站页面加载的所有文件保存到本地服务器,修改html文件。
注意:请勾选“Capture Submitted Data”、“Capture Passwords”来获取提交的数据(账号密码)。
“Redirect to”是“鱼儿”在伪造页面提交账号密码后跳转到的具体页面,可以是真实网站,也是以是一个警示页面,提醒他已经中招钓鱼邮件,应提高安全意识。
四)添加钓鱼对象在Gophish中选择“Users & Group”添加邮箱分组和攻击对象的邮箱。

启动钓鱼挑战在Gophish中选择“Campaigns”新建一次钓鱼攻击测试。

选择邮件模板、伪造钓鱼页面,URL是监听的主机IP,选择要钓鱼的对象邮箱,选择时间立即开始。
受攻击对象在邮箱内收到钓鱼邮件后,打开邮件、点击链接、提交登录数据等都会被记录。

点击邮件中超链接后,会跳转到我们伪造的页面:

在伪造页面提交登录信息后,可以跳转到指定的网站,我们设计了一个警示页面。

至此,受害者打开邮件、点击链接、提交账号密码都会被捕获。

多样化测试针对企业内部不同部门的岗位,可以设置不同的攻击方式,设计不同的场景。
场景对象伪造系统钓鱼方式获取内容结果
场景一人事部内部OA登录正文中附链接账户密码真实OA登录
场景二IT部门内部OA登录正文中附链接账户密码安全警告网页
场景三行政/财务部门NCC/采购我是老板,加QQ群,紧急采购付款QQ钓鱼演示
场景四产品部门/寻求产品合作,附件文件后门主机权限获取权限演示
场景五X部门/XX软件安装勒索加密勒索加密演示…
安全启示加强账户口令整改
定期提醒员工修改过期密码;定期梳理邮箱账户,对长期未使用的账户进行封禁;定期进行口令安全测试,避免弱口令。
安全意识提升
通过多种方式不断进行信息安全意识宣传(宣传刊物+培训+钓鱼测试+警示)。
定期进行安全测试
定期进行不同部门具有针对性场景的不同方式的钓鱼测试活动,通过检验来促进安全意识提升。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 04:49 , Processed in 0.013070 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表