邮件钓鱼意义
提升企业以及员工的安全意识文化,可以通过有效的模仿攻击和安全意识宣传相结合,企业能从一个攻击者的视角看到安全的不足之处。同时结合安全培训,调整他们的安全反应,使员工成为公司信息安全有效的最后一道防线。
对邮件安全意识方面的宣导,可以通过模拟与员工日常活动相关的攻击,开展邮件钓鱼测试,检测员工对钓鱼邮件的敏感程度,前期以安全专题期刊或安全培训方式进行安全意识宣贯,再通过搭建邮件安全测试系统,对员工进行了邮件钓鱼测试,通过“以测代练”的方式,进一步提升整体信息安全意识水平。
快速实现邮件钓鱼测试的原则是“实现快速、无成本投入、以警示代替测试”。
快速搭建平台
推荐使用Gophish开源项目搭建测试平台,伪造钓鱼页面、发送钓鱼邮件、统计测试效果。
下载安装
下载https://github.com/gophish/gophish/releases
kali_# unzip gophish-v0.11.0-linux-64bit.zip -d gophish
kali_# cd gophish
kali_# chmod +x gophish
请在配置文件config.json中更改监听地址listen_url为你的主机IP,同时需要使用3333和80两个端口,开启前请确保端口未被占用,特别是请关闭httpd服务。
admin_server.listen_url [你的主机IP]:3333 #Gophish管理服务器的IP /端口
启动
kali_# ./gophish
……
time="2021-05-14T03:30:20-04:00" level=info msg="Please login with the username adminand the password 550f53c62fa6ca06"
time="2021-05-14T03:30:20-04:00" level=info msg="Creating new self-signed certificates for administration interface"
time="2021-05-14T03:30:20-04:00" level=info msg="Starting phishing server at
http://0.0.0.0:80"
…
time="2021-05-14T03:30:20-04:00" level=info msg="Starting admin server at https://192.168.68.75:3333"
请使用 https://[主机IP]:3333/ 进行访问管理登录,初次登录修改密码(用户名admin,密码在控制台日志中打印)。
快速配置钓鱼平台
一)配置邮件转发
可以自己搭建邮件服务器,也可以使用免费邮箱的SMTP服务(163/QQ/搜狐/新浪都支持),以下以163网易邮箱为例:
在网易邮箱官方注册一个伪造的邮箱,例如hr-aliyun@163.com,登录个人邮箱页面在“设置”中找到SMTP配置之处。
1、开启SMTP服务
2、获取授权登录密码
授权密码在其他平台登录调用时使用,需要记录,后续使用。
3、在Gophish中选择“Sending Profiles”添加邮件发件设置
配置163邮箱信息,其中Password部分为授权登录密码而非邮箱密码(其他邮箱类似)。
点击“Send Test Email”测试发送邮件成功即可。
二)配置钓鱼邮件模板
在Gophish中选择“Email Templates”添加邮件正文模板。
可以通过一个别处保存的邮件“Import Email”来进行导入,也可以直接编辑邮件正文。
其中可用参数请参考官方文档:https://docs.getgophish.com/user-guide/template-reference
诱使“鱼儿”点击的超链接应跳转到伪造页面,伪造页面地址使用占位符参数{{.URL}}。
点击勾选“Add Tracking Image”,将在正文中加载一个隐藏的img,以供统计邮件是否被打开。
请确认保存后,正文HTML文件中存在{{.Tracker}}标识符。
三)配置伪造页面
配置伪造页面,即诱使“鱼儿”点击跳转到的假的钓鱼网站页面。
1、在Gophish中选择“Landing Pages”添加伪造页面。
可以通过点击“Import Site”输入网址进行网站克隆(部分动态页面无法加载),也可以加载后手动修改,甚至可以将真实网站页面加载的所有文件保存到本地服务器,修改html文件。
注意:请勾选“Capture Submitted Data”、“Capture Passwords”来获取提交的数据(账号密码)。
“Redirect to”是“鱼儿”在伪造页面提交账号密码后跳转到的具体页面,可以是真实网站,也是以是一个警示页面,提醒他已经中招钓鱼邮件,应提高安全意识。
四)添加钓鱼对象
在Gophish中选择“Users & Group”添加邮箱分组和攻击对象的邮箱。
启动钓鱼挑战
在Gophish中选择“Campaigns”新建一次钓鱼攻击测试。
选择邮件模板、伪造钓鱼页面,URL是监听的主机IP,选择要钓鱼的对象邮箱,选择时间立即开始。
受攻击对象在邮箱内收到钓鱼邮件后,打开邮件、点击链接、提交登录数据等都会被记录。
点击邮件中超链接后,会跳转到我们伪造的页面:
在伪造页面提交登录信息后,可以跳转到指定的网站,我们设计了一个警示页面。
至此,受害者打开邮件、点击链接、提交账号密码都会被捕获。
多样化测试
针对企业内部不同部门的岗位,可以设置不同的攻击方式,设计不同的场景。
场景 | 对象 | 伪造系统 | 钓鱼方式 | 获取内容 | 结果 |
场景一 | 人事部 | 内部OA登录 | 正文中附链接 | 账户密码 | 真实OA登录 |
场景二 | IT部门 | 内部OA登录 | 正文中附链接 | 账户密码 | 安全警告网页 |
场景三 | 行政/财务部门 | NCC/采购 | 我是老板,加QQ群,紧急采购付款 | 钓鱼演示 | |
场景四 | 产品部门 | / | 寻求产品合作,附件文件后门 | 主机权限 | 获取权限演示 |
场景五 | X部门 | / | XX软件安装 | 勒索加密 | 勒索加密演示 |
...
安全启示
加强账户口令整改
定期提醒员工修改过期密码;定期梳理邮箱账户,对长期未使用的账户进行封禁;定期进行口令安全测试,避免弱口令。
安全意识提升
通过多种方式不断进行信息安全意识宣传(宣传刊物+培训+钓鱼测试+警示)。
定期进行安全测试
定期进行不同部门具有针对性场景的不同方式的钓鱼测试活动,通过检验来促进安全意识提升。