快速构建邮件钓鱼实践 – 作者:两块

邮件钓鱼意义

提升企业以及员工的安全意识文化,可以通过有效的模仿攻击和安全意识宣传相结合,企业能从一个攻击者的视角看到安全的不足之处。同时结合安全培训,调整他们的安全反应,使员工成为公司信息安全有效的最后一道防线。

对邮件安全意识方面的宣导,可以通过模拟与员工日常活动相关的攻击,开展邮件钓鱼测试,检测员工对钓鱼邮件的敏感程度,前期以安全专题期刊或安全培训方式进行安全意识宣贯,再通过搭建邮件安全测试系统,对员工进行了邮件钓鱼测试,通过“以测代练”的方式,进一步提升整体信息安全意识水平。

快速实现邮件钓鱼测试的原则是“实现快速、无成本投入、以警示代替测试”。

快速搭建平台

推荐使用Gophish开源项目搭建测试平台,伪造钓鱼页面、发送钓鱼邮件、统计测试效果。

下载安装

下载https://github.com/gophish/gophish/releases

kali_# unzip gophish-v0.11.0-linux-64bit.zip  -d  gophish

kali_# cd gophish

kali_# chmod +x gophish

请在配置文件config.json中更改监听地址listen_url为你的主机IP,同时需要使用3333和80两个端口,开启前请确保端口未被占用,特别是请关闭httpd服务。

admin_server.listen_url        [你的主机IP]:3333        #Gophish管理服务器的IP /端口

图片[1]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

启动

kali_# ./gophish

……

time=”2021-05-14T03:30:20-04:00″ level=info msg=”Please login with the username adminand the password 550f53c62fa6ca06

time=”2021-05-14T03:30:20-04:00″ level=info msg=”Creating new self-signed certificates for administration interface”

time=”2021-05-14T03:30:20-04:00″ level=info msg=”Starting phishing server at

http://0.0.0.0:80″

time=”2021-05-14T03:30:20-04:00″ level=info msg=”Starting admin server at https://192.168.68.75:3333″

请使用 https://[主机IP]:3333/ 进行访问管理登录,初次登录修改密码(用户名admin,密码在控制台日志中打印)。

快速配置钓鱼平台

一)配置邮件转发

可以自己搭建邮件服务器,也可以使用免费邮箱的SMTP服务(163/QQ/搜狐/新浪都支持),以下以163网易邮箱为例:

在网易邮箱官方注册一个伪造的邮箱,例如[email protected],登录个人邮箱页面在“设置”中找到SMTP配置之处。

1、开启SMTP服务

图片[2]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科2、获取授权登录密码

授权密码在其他平台登录调用时使用,需要记录,后续使用。

图片[3]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科3、在Gophish中选择“Sending Profiles”添加邮件发件设置

图片[4]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

配置163邮箱信息,其中Password部分为授权登录密码而非邮箱密码(其他邮箱类似)。

点击“Send Test Email”测试发送邮件成功即可。

图片[5]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

二)配置钓鱼邮件模板

在Gophish中选择“Email Templates”添加邮件正文模板。

图片[6]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

可以通过一个别处保存的邮件“Import Email”来进行导入,也可以直接编辑邮件正文。

其中可用参数请参考官方文档:https://docs.getgophish.com/user-guide/template-reference

诱使“鱼儿”点击的超链接应跳转到伪造页面,伪造页面地址使用占位符参数{{.URL}}。

点击勾选“Add Tracking Image”,将在正文中加载一个隐藏的img,以供统计邮件是否被打开。

图片[7]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

请确认保存后,正文HTML文件中存在{{.Tracker}}标识符。

三)配置伪造页面

配置伪造页面,即诱使“鱼儿”点击跳转到的假的钓鱼网站页面。

1、在Gophish中选择“Landing Pages”添加伪造页面。

图片[8]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

可以通过点击“Import Site”输入网址进行网站克隆(部分动态页面无法加载),也可以加载后手动修改,甚至可以将真实网站页面加载的所有文件保存到本地服务器,修改html文件。

注意:请勾选“Capture Submitted Data”、“Capture Passwords”来获取提交的数据(账号密码)。

“Redirect to”是“鱼儿”在伪造页面提交账号密码后跳转到的具体页面,可以是真实网站,也是以是一个警示页面,提醒他已经中招钓鱼邮件,应提高安全意识。

四)添加钓鱼对象

在Gophish中选择“Users & Group”添加邮箱分组和攻击对象的邮箱。

图片[9]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

启动钓鱼挑战

在Gophish中选择“Campaigns”新建一次钓鱼攻击测试。

图片[10]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

选择邮件模板、伪造钓鱼页面,URL是监听的主机IP,选择要钓鱼的对象邮箱,选择时间立即开始。

受攻击对象在邮箱内收到钓鱼邮件后,打开邮件、点击链接、提交登录数据等都会被记录。

图片[11]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

点击邮件中超链接后,会跳转到我们伪造的页面:

图片[12]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

在伪造页面提交登录信息后,可以跳转到指定的网站,我们设计了一个警示页面。

图片[13]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

至此,受害者打开邮件、点击链接、提交账号密码都会被捕获。

图片[14]-快速构建邮件钓鱼实践 – 作者:两块-安全小百科

多样化测试

针对企业内部不同部门的岗位,可以设置不同的攻击方式,设计不同的场景。

场景

对象

伪造系统

钓鱼方式

获取内容

结果

场景一

人事部

内部OA登录

正文中附链接

账户密码

真实OA登录

场景二

IT部门

内部OA登录

正文中附链接

账户密码

安全警告网页

场景三

行政/财务部门

NCC/采购

我是老板,加QQ群,紧急采购付款

QQ

钓鱼演示

场景四

产品部门

/

寻求产品合作,附件文件后门

主机权限

获取权限演示

场景五

X部门

/

XX软件安装

勒索加密

勒索加密演示

安全启示

加强账户口令整改

定期提醒员工修改过期密码;定期梳理邮箱账户,对长期未使用的账户进行封禁;定期进行口令安全测试,避免弱口令。

安全意识提升

通过多种方式不断进行信息安全意识宣传(宣传刊物+培训+钓鱼测试+警示)。

定期进行安全测试

定期进行不同部门具有针对性场景的不同方式的钓鱼测试活动,通过检验来促进安全意识提升。

来源:freebuf.com 2021-05-17 16:53:57 by: 两块

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论