快速构建邮件钓鱼实践 – 作者:两块

邮件钓鱼意义

提升企业以及员工的安全意识文化，可以通过有效的模仿攻击和安全意识宣传相结合，企业能从一个攻击者的视角看到安全的不足之处。同时结合安全培训，调整他们的安全反应，使员工成为公司信息安全有效的最后一道防线。

对邮件安全意识方面的宣导，可以通过模拟与员工日常活动相关的攻击，开展邮件钓鱼测试，检测员工对钓鱼邮件的敏感程度，前期以安全专题期刊或安全培训方式进行安全意识宣贯，再通过搭建邮件安全测试系统，对员工进行了邮件钓鱼测试，通过“以测代练”的方式，进一步提升整体信息安全意识水平。

快速实现邮件钓鱼测试的原则是“实现快速、无成本投入、以警示代替测试”。

快速搭建平台

推荐使用Gophish开源项目搭建测试平台，伪造钓鱼页面、发送钓鱼邮件、统计测试效果。

下载安装

下载https://github.com/gophish/gophish/releases

kali_# unzip gophish-v0.11.0-linux-64bit.zip  -d  gophish

kali_# cd gophish

kali_# chmod +x gophish

请在配置文件config.json中更改监听地址listen_url为你的主机IP，同时需要使用3333和80两个端口，开启前请确保端口未被占用，特别是请关闭httpd服务。

admin_server.listen_url        [你的主机IP]:3333        #Gophish管理服务器的IP /端口

启动

kali_# ./gophish

……

time=”2021-05-14T03:30:20-04:00″ level=info msg=”Please login with the username adminand the password 550f53c62fa6ca06“

time=”2021-05-14T03:30:20-04:00″ level=info msg=”Creating new self-signed certificates for administration interface”

time=”2021-05-14T03:30:20-04:00″ level=info msg=”Starting phishing server at

http://0.0.0.0:80″

…

time=”2021-05-14T03:30:20-04:00″ level=info msg=”Starting admin server at https://192.168.68.75:3333″

请使用 https://[主机IP]:3333/ 进行访问管理登录，初次登录修改密码（用户名admin，密码在控制台日志中打印）。

快速配置钓鱼平台

一）配置邮件转发

可以自己搭建邮件服务器，也可以使用免费邮箱的SMTP服务（163/QQ/搜狐/新浪都支持），以下以163网易邮箱为例：

在网易邮箱官方注册一个伪造的邮箱，例如[email protected]，登录个人邮箱页面在“设置”中找到SMTP配置之处。

1、开启SMTP服务

2、获取授权登录密码

授权密码在其他平台登录调用时使用，需要记录，后续使用。

3、在Gophish中选择“Sending Profiles”添加邮件发件设置

配置163邮箱信息，其中Password部分为授权登录密码而非邮箱密码（其他邮箱类似）。

点击“Send Test Email”测试发送邮件成功即可。

二）配置钓鱼邮件模板

在Gophish中选择“Email Templates”添加邮件正文模板。

可以通过一个别处保存的邮件“Import Email”来进行导入，也可以直接编辑邮件正文。

其中可用参数请参考官方文档：https://docs.getgophish.com/user-guide/template-reference

诱使“鱼儿”点击的超链接应跳转到伪造页面，伪造页面地址使用占位符参数{{.URL}}。

点击勾选“Add Tracking Image”，将在正文中加载一个隐藏的img，以供统计邮件是否被打开。

请确认保存后，正文HTML文件中存在{{.Tracker}}标识符。

三）配置伪造页面

配置伪造页面，即诱使“鱼儿”点击跳转到的假的钓鱼网站页面。

1、在Gophish中选择“Landing Pages”添加伪造页面。

可以通过点击“Import Site”输入网址进行网站克隆（部分动态页面无法加载），也可以加载后手动修改，甚至可以将真实网站页面加载的所有文件保存到本地服务器，修改html文件。

注意：请勾选“Capture Submitted Data”、“Capture Passwords”来获取提交的数据（账号密码）。

“Redirect to”是“鱼儿”在伪造页面提交账号密码后跳转到的具体页面，可以是真实网站，也是以是一个警示页面，提醒他已经中招钓鱼邮件，应提高安全意识。

四）添加钓鱼对象

在Gophish中选择“Users & Group”添加邮箱分组和攻击对象的邮箱。

启动钓鱼挑战

在Gophish中选择“Campaigns”新建一次钓鱼攻击测试。

选择邮件模板、伪造钓鱼页面，URL是监听的主机IP，选择要钓鱼的对象邮箱，选择时间立即开始。

受攻击对象在邮箱内收到钓鱼邮件后，打开邮件、点击链接、提交登录数据等都会被记录。

点击邮件中超链接后，会跳转到我们伪造的页面：

在伪造页面提交登录信息后，可以跳转到指定的网站，我们设计了一个警示页面。

至此，受害者打开邮件、点击链接、提交账号密码都会被捕获。

多样化测试

针对企业内部不同部门的岗位，可以设置不同的攻击方式，设计不同的场景。

场景	对象	伪造系统	钓鱼方式	获取内容	结果
场景一	人事部	内部OA登录	正文中附链接	账户密码	真实OA登录
场景二	IT部门	内部OA登录	正文中附链接	账户密码	安全警告网页
场景三	行政/财务部门	NCC/采购	我是老板，加QQ群，紧急采购付款	QQ	钓鱼演示
场景四	产品部门	/	寻求产品合作，附件文件后门	主机权限	获取权限演示
场景五	X部门	/	XX软件安装	勒索加密	勒索加密演示

…

安全启示

加强账户口令整改

定期提醒员工修改过期密码；定期梳理邮箱账户，对长期未使用的账户进行封禁；定期进行口令安全测试，避免弱口令。

安全意识提升

通过多种方式不断进行信息安全意识宣传（宣传刊物+培训+钓鱼测试+警示）。

定期进行安全测试

定期进行不同部门具有针对性场景的不同方式的钓鱼测试活动，通过检验来促进安全意识提升。

来源：freebuf.com 2021-05-17 16:53:57 by: 两块